[atnog] - wie viele Filter Regeln

Obidniak Peter Peter.Obidniak at itsv.at
Wed Mar 29 14:25:28 CEST 2017 

Die Frage war: Die Router die ein ISP typischerweise an seinen Bordern einsetzt (Peering mit anderen ASen) - wie viele Filter Regeln kann man auf diesen Routern konfigurieren bei gleichbleibender Performance (also kein Filtering in der Control Plane). Sind das mehr als unsere EX4200 k?nnen (7000) oder k?nnen "gro?e" Router auch mehr Rules?

HI

die Frage müsste auch lauten: wie viele Einträge (Zeilen) hat die jeweilige Access-Liste ?

Die ACL die wir verwenden (welche am Interface sitzt wo der Traffic vom Internet rein kommt) kommt mit ca 1500 Zeilen (Einträgen) aus.
Natürlich kommt hin und wieder der eine oder andere Eintrag hinzu.
Diese Anzahl sollte sich für jede halbwegs aktuelle Hardware ausgehen,


mit freundlichen Grüßen

Peter Obidniak
IT-Services der Sozialversicherung GmbH
Rechenzentrum
Johann-Böhm-Platz 1
A-1020 Wien
T: 050 124 844 3277
M: 0664 962 3277
peter.obidniak at itsv.at
www.itsv.at

________________________________________
Von: atnog-bounces at atnog.at <atnog-bounces at atnog.at> im Auftrag von atnog-request at atnog.at <atnog-request at atnog.at>
Gesendet: Mittwoch, 29. März 2017 12:00
An: atnog at atnog.at
Betreff: atnog Digest, Vol 23, Issue 6

Send atnog mailing list submissions to
        atnog at atnog.at

To subscribe or unsubscribe via the World Wide Web, visit
        https://atnog.at/mailman/listinfo/atnog
or, via email, send a message with subject or body 'help' to
        atnog-request at atnog.at

You can reach the person managing the list at
        atnog-owner at atnog.at

When replying, please edit your Subject line so it is more specific
than "Re: Contents of atnog digest..."


Today's Topics:

   1. Re: Anzahl von Router ACLs (Mario Rosic)


----------------------------------------------------------------------

Message: 1
Date: Tue, 28 Mar 2017 18:06:55 +0200
From: Mario Rosic <mail at rosicmario.eu>
To: atnog at atnog.at
Subject: Re: [atnog] Anzahl von Router ACLs
Message-ID: <19fbab22-bc2e-c44b-32f5-973260c503e9 at rosicmario.eu>
Content-Type: text/plain; charset=utf-8

Hallo Klaus,

1. Ein Juniper MX-Router (der oft als Core oder Edge-Router eingesetzt wird) kann in der Regel deutlich mehr Filterregeln verdauen als ein EX-Switch.
Bei den EXen kann man sich au?erdem manchmal nicht darauf verlassen, dass der Filter funktioniert und es gibt ziemlich viele arge Einschr?nkungen was geht und was nicht. Du kannst dich nicht darauf verlassen, dass ein Filter, den du bei deinem MX konfiguriert hast auch bei deinem EX funktioniert oder dass der Filter das gleiche macht.
Hier ein paar Beispiele, was alles schief gehen kann:
https://lists.gt.net/nsp/juniper/53480
Bei den MXen gehen deutlich mehr regeln und man ist viel freier.

2. Eine exakte Anzahl an Terms l?sst sich weder bei EXen noch bei MXen sinnvoll angeben, da (u.a.) die von dir erstellten Filter vom Router/Switch intern ?berarbeitet und so gespeichert werden, wie es f?r ihn am sinnvollsten/platzsparendsten ist.

3. Ich habe dir einen Auszug aus dem Buch "Juniper MX Series" geschickt, wo Details und weitere Erkl?rungen drinnen findest. Nur f?r den Fall, dass du ebenfalls ein Nerd bist und dich f?r die Details interessierst. :)
Erstens siehst du, dass Juniper auch dort eher vage bleibt was genaue Zahlen betrifft. Zweitens bist frei zu Pr?fen, ob der Befehl aus dem Buch auch bei den EXen klappt. Die Befehle poste ich hier f?r alle:
request pfe execute target fpc5 command "show jnh 0 pool usage"
request pfe execute target fpc5 command "show jnh 0 pool summary"

TL;DR
Ein Edge-Router kann meistens um ein Vielfaches mehr Regeln verdauen als ein Switch, au?erdem beherrscht er auch die Erstellung von viel detaillierteren und genaueren Regeln.

Beste Gr??e
Mario

Am 2017-03-28 um 10:22 schrieb Klaus Darilion:
> Hallo!
>
>
> Wir hatten bei uns intern eine Diskussion und mangels ISP-Know How fanden wir keine Antwort. Kann uns von euch jemand helfen?
>
> Die Frage war: Die Router die ein ISP typischerweise an seinen Bordern einsetzt (Peering mit anderen ASen) - wie viele Filter Regeln kann man auf diesen Routern konfigurieren bei gleichbleibender Performance (also kein Filtering in der Control Plane). Sind das mehr als unsere EX4200 k?nnen (7000) oder k?nnen "gro?e" Router auch mehr Rules?
>
> Danke
> Klaus
>




------------------------------

_______________________________________________
atnog mailing list
atnog at atnog.at
https://atnog.at/mailman/listinfo/atnog


End of atnog Digest, Vol 23, Issue 6
************************************

More information about the atnog mailing list