[Nlnog] NIET nog es!
Niels Bakker
niels.bakker at ams-ix.net
Wed Sep 17 20:25:13 UTC 2003
On woensdag, sep 17, 2003, at 21:07 Europe/Amsterdam, Boudewijn Visser
wrote:
> Een van de dingen waar ik eens van schrok was dat bij vendor C telnet
> access-lists (access-class op vty lines), snmp access-lists etc
> allemaal pas op de RP uitgevoerd worden.
Niet zo raar. Het gros van de produktlijn van Vendor C heeft 1 CPU
voor alles, en het design van de software dat ze draaien is weinig
veranderd sinds de AGS+, lijkt 't.
De vraag voor hen is: hoeveel implementaties van OSPF en BGP en IS-IS
willen ze parallel onderhouden? Het antwoord is uiteraard "Zo weinig
mogelijk", wat een reden kan zijn voor een monolithic OS, maar
misschien liggen de verschillende architecturen nu zodanig ver uit
elkaar dat het lonend wordt om het IOS-roer fundamenteel om te gooien
en er een echt OS onder te hangen met memory protection en andere
nieuwerwetse fratsen van dien.
> Ze zijn dus niet geimplementeerd als onzichtbare access-lists die
> overal op de linecard/VIP zitten, dat is pas het geval met de ip
> receive-acl. (en de 'gewone' access-lists, natuurlijk.)
Je zou denken dat als je ergens - waar dan ook - een access-list zet,
het systeem slim genoeg zou moeten zijn om dit te vertalen in de juiste
entries in de verschillende TCAM's en dergelijke, maar helaas is de
techniek bij de meeste vendors nog niet zo ver.
Om even een item van mijn wishlist te plukken: JunOS mist ook een
`prefix-list me' die automatisch gevuld wordt met alle adressen van
alle lokale interfaces.
> (Niels, hoe zit 't met vendor F bv ? )
(welke Niels?) Daar kon je lang maar beter geen incoming access-lists
doen (of waren het outgoing?) aangezien deze allemaal over de CPU
gingen in plaats van in TCAM geprogrammeerd te worden. De
SSH-implementatie is gebaseerd op die van F-Secure, dus naar ik vermoed
niet vatbaar voor de bug uit het begin van deze thread.
-- Niels.
--
More information about the NLNOG
mailing list