Greetings, Имеется в наличии cisco 3560, судя по спецификации он поддерживает level 3 acl's Собственно вопрос не будет ли процессор перегружен если применить несколько таких acl-ей при текущей загрузке на аплинке в ~900 мбит? -- Konstantin N. Bezruchenko, BK5536-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте! On Thu, Oct 06, 2005 at 03:35:22PM +0300, Konstantin N. Bezruchenko wrote:
Greetings,
Имеется в наличии cisco 3560, судя по спецификации он поддерживает level 3 acl's Собственно вопрос не будет ли процессор перегружен если применить несколько таких acl-ей при текущей загрузке на аплинке в ~900 мбит?
Зависит от acl'ей, наверное. Но, боюсь, ничего хорошего из этого не выйдет. acl'и достаточно сильно умеют грузить проц. Возьмите да попробуйте, в чем проблема? :) -- Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Thursday, October 6, 2005, 4:51:25 PM, Alexander Burnos wrote:
On Thu, Oct 06, 2005 at 03:35:22PM +0300, Konstantin N. Bezruchenko wrote:
Имеется в наличии cisco 3560, судя по спецификации он поддерживает level 3 acl's Собственно вопрос не будет ли процессор перегружен если применить несколько таких acl-ей при текущей загрузке на аплинке в ~900 мбит?
Зависит от acl'ей, наверное. Но, боюсь, ничего хорошего из этого не выйдет. acl'и достаточно сильно умеют грузить проц.
В документации по нему написано: "ACL lookups are done in hardware, so forwarding performance is not compromised when implementing ACL-based security." Сами ACL не сложные. Нужно пофильтровать доступ по ссх ко всем железякам которые подключены к свичу.
Возьмите да попробуйте, в чем проблема? :)
Попробовать я всегда успею, но вдруг у кого-то уже есть опыт. -- Konstantin N. Bezruchenko, BK5536-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте! On Thu, Oct 06, 2005 at 05:00:32PM +0300, Konstantin N. Bezruchenko wrote:
Thursday, October 6, 2005, 4:51:25 PM, Alexander Burnos wrote:
On Thu, Oct 06, 2005 at 03:35:22PM +0300, Konstantin N. Bezruchenko wrote:
Имеется в наличии cisco 3560, судя по спецификации он поддерживает level 3 acl's Собственно вопрос не будет ли процессор перегружен если применить несколько таких acl-ей при текущей загрузке на аплинке в ~900 мбит?
Зависит от acl'ей, наверное. Но, боюсь, ничего хорошего из этого не выйдет. acl'и достаточно сильно умеют грузить проц.
В документации по нему написано: "ACL lookups are done in hardware, so forwarding performance is not compromised when implementing ACL-based security." Сами ACL не сложные. Нужно пофильтровать доступ по ссх ко всем железякам которые подключены к свичу.
ACL до десятка записей у меня погоды не делает. Тут будет все ок, я думаю. А вот ACL ~1000 записей на 40 мегабитах до 85% проц нагружали. -- Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Alexander Burnos wrote:
ACL до десятка записей у меня погоды не делает. Тут будет все ок, я думаю. А вот ACL ~1000 записей на 40 мегабитах до 85% проц нагружали.
На чем - на каталистах? Best wishes, Sergey Kovalenko GTU network engineer =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Здравствуйте! On Thu, Oct 06, 2005 at 06:46:37PM +0300, Sergey Kovalenko wrote:
Alexander Burnos wrote:
ACL до десятка записей у меня погоды не делает. Тут будет все ок, я думаю. А вот ACL ~1000 записей на 40 мегабитах до 85% проц нагружали.
На чем - на каталистах?
Да. -- Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Очевидно, ACL не влез в TCAM и трафик пошел ч-з проц. Всё, что влезает, должно обрабатываться аппаратно без потерь в производительности. Best wishes, Sergey Kovalenko GTU network engineer Alexander Burnos wrote:
Здравствуйте!
On Thu, Oct 06, 2005 at 06:46:37PM +0300, Sergey Kovalenko wrote:
Alexander Burnos wrote:
ACL до десятка записей у меня погоды не делает. Тут будет все ок, я думаю. А вот ACL ~1000 записей на 40 мегабитах до 85% проц нагружали.
На чем - на каталистах?
Да.
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 06, 2005 at 07:01:33PM +0300, Sergey Kovalenko wrote:
Очевидно, ACL не влез в TCAM и трафик пошел ч-з проц. Всё, что влезает, должно обрабатываться аппаратно без потерь в производительности.
Но с добавлением такого количества разных глюков, что просто ой. У нас была достаточно забавная конфигурация, при которой на больших acl'ях, когда они не влазили в tcam, пакеты начинали дуплицироваться. И при этом ребут обоих коробок, стоявших в hsrp standby по нескольким vlan'ам, лечил ситуацию, до следующего upload'а acl'ей.
Alexander Burnos wrote:
Здравствуйте!
On Thu, Oct 06, 2005 at 06:46:37PM +0300, Sergey Kovalenko wrote:
Alexander Burnos wrote:
ACL до десятка записей у меня погоды не делает. Тут будет все ок, я думаю. А вот ACL ~1000 записей на 40 мегабитах до 85% проц нагружали.
На чем - на каталистах?
Да.
-- ZA-RIPE||ZA1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (4)
-
Alexander Burnos -
Andrey Zarechansky -
Konstantin N. Bezruchenko -
Sergey Kovalenko