[Nlnog] NIET nog es!

Boudewijn Visser bvisser-nlnog at xs4all.nl
Thu Sep 18 12:12:49 UTC 2003 

> On woensdag, sep 17, 2003, at 23:09 Europe/Amsterdam, Boudewijn Visser
> wrote:
>
>> Het zou me niet verbazen als het code pad tussen vty access-class en
>> echte access-lists ook op single-CPU platformen dus anders is.
>
> Dat is er zeker wel.  Maar of het nu op process-niveau in IP Input
> wordt gedropt of op process-niveau in Virtual Exec maakt niet bijster
> veel verschil.  Pas als je het op interrupt-niveau kan doen (CEF/dCEF -
> wat verplicht is voor "ip receive-acl") ga je verschil zien.
>

Klopt, maar ook gewone access-lists (net als ip receive-acl) worden dus
(mits niet loggend) via CEF/dCEF behandeld.

ip receive-acl is dus niet specialer dan een reguliere access-list die
matched op source x.y.z destination <any local IP address> .
Wel heel veel handiger om te gebruiken, natuurlijk.


>
>> Maar ik zou dus gedacht hebben dat die feature gewoon gebouwd zou zijn
>> als normale access-list.
>
> Zoals ik al schreef, er wordt nauwelijks magic juju gedaan met het
> optimaliseren van access-lists, voor zover ik weet.  "ip receive-acl"
> is een stukje implicit access-list dat bij elke interface applied wordt.

Het ligt eraan wat je magic juju noemt. Intern re-orderen niet, voor zover
ik weet.
'compiled access-lists' stoppen ze in een datastructuur zodanig dat de
lookup min of meer constant is, en niet meer lineair door alle regels
van de acl heen loopt.

Maar in elk geval worden reguliere access-lists dus wel CEF-switched.
(mits niet loggend).
En dat is het grote verschil met de vty access-class, snmp access-lists etc.

>
> Volgens mij herordent JunOS geconfigureerde firewall filters ook om
> packets niet onnodig door het chassis te sturen.
>
> [..]
>> (next wishlist item: modulair IOS. 'insmod BGP,IS-IS , rmmod DLSW+
>> etc).
>
> insmod???  hoewel het voortdurende succes van Linux anders doet
> vermoeden, het tijdperk van monolithische kernels is eigenlijk wel
> over.  Hier zou je geen goed cijfer voor krijgen van de heer Tanenbaum.

Huh, zo af en toe geeft de heer Torvalds ook nog wel eens zijn mening
over microkernels en de delen van de comp.sci academia die daar heel erg
hard in geloven, en hij klinkt erg overtuigend.


>
> Juniper doet het al vrij goed met hun strikte scheiding tussen control
> en forwarding planes

Doel je op linecard - RP , of zit er meer scheiding in JunOS ?
[zijn er eigenlijk goede beschrijvingen van juniper/JunOS architectuur ?
Ik heb wel eens gekeken, maar kon niet al te veel vinden op de site.]

[..]

Boudewijn

More information about the NLNOG mailing list