[Nlnog] Cisco Telnet, anyone?
Boudewijn Visser
bvisser-nlnog at xs4all.nl
Sat Aug 28 21:05:44 UTC 2004
> On 27 aug 2004, at 14:39, Boudewijn Visser wrote:
>
> [..]
>> De nettere oplossing is de "ip receive <access-list>" feature die wel
>> een echte access-list zet op "alle verkeer gericht aan de router
>> zelf".
>
> Is er zoveel verschil tussen het afhandelen van packets in het
> interrupt path vs. process switched op software-based routers (7200 en
> kleiner)?
Ja.
Orde grootte factor 10 in switching performance.
(je zoekt je helemaal rot op de cisco site, maar hier een URL met
pps voor process en fast switched performance voor een aantal single cpu
routers (4500,3700,3620,7200 etc ) :
http://www.cisco.com/en/US/products/hw/routers/ps5199/prod_bulletin09186a0080092066.html
Packets richting CPU claimen daarnaast andere resources (input queue ) die
beter gebruikt kan worden voor routing updates, keepalives e.d.
Kortom, drop 'm early on.
Inderdaad bestaat "ip receive" alleen op 75xx en 12K platformen.
Hoewel Control Plane Policing wel op de lower end (17xx,26xx,37xx,72xx)
cisco's bestaat.
>
> Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets
> in het interrupt path (CEF) gedropt te krijgen zul je op elke interface
> een ACL moeten zetten. Helaas heeft IOS niet het equivalent van
> FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch
> alle adressen van alle lokale interfaces worden gesubstitueerd.
Ja, een paar kleine uitbreidingen op de ACL syntax zouden heel erg fijn
zijn.
Een auto-ref voor "me", de mogelijkheid om in volgorde meerdere
access-listsen op interfaces te apply'en , zodat je generieke en
interface-specifieke acl's kunt scheiden zou erg fijn zijn.
Met goede infrastructure filters op de edge zou je overigens alleen op
edge devices echt behoefte hebben aan "ip receive" of een emulatie
ervan met access-lists.
>
>> Verder is het opzetten van infrastructure access-lists (/filters) aan
>> de netwerk edges hoe dan ook een goed idee.
>> De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials
>> etc); Het zijn trouwens typisch best practices voor alle netwerk
>> appratuur, niet alleen die van Cisco.
>
> Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen
> op qorbit.net).
Yup, hoop goed leesvoer op cymru.
Boudewijn
More information about the NLNOG
mailing list