On 27 aug 2004, at 14:39, Boudewijn Visser wrote:
[..]
De nettere oplossing is de "ip receive <access-list>" feature die wel een echte access-list zet op "alle verkeer gericht aan de router zelf".
Is er zoveel verschil tussen het afhandelen van packets in het interrupt path vs. process switched op software-based routers (7200 en kleiner)?
Ja. Orde grootte factor 10 in switching performance. (je zoekt je helemaal rot op de cisco site, maar hier een URL met pps voor process en fast switched performance voor een aantal single cpu routers (4500,3700,3620,7200 etc ) : http://www.cisco.com/en/US/products/hw/routers/ps5199/prod_bulletin09186a008... Packets richting CPU claimen daarnaast andere resources (input queue ) die beter gebruikt kan worden voor routing updates, keepalives e.d. Kortom, drop 'm early on. Inderdaad bestaat "ip receive" alleen op 75xx en 12K platformen. Hoewel Control Plane Policing wel op de lower end (17xx,26xx,37xx,72xx) cisco's bestaat.
Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets in het interrupt path (CEF) gedropt te krijgen zul je op elke interface een ACL moeten zetten. Helaas heeft IOS niet het equivalent van FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch alle adressen van alle lokale interfaces worden gesubstitueerd.
Ja, een paar kleine uitbreidingen op de ACL syntax zouden heel erg fijn zijn. Een auto-ref voor "me", de mogelijkheid om in volgorde meerdere access-listsen op interfaces te apply'en , zodat je generieke en interface-specifieke acl's kunt scheiden zou erg fijn zijn. Met goede infrastructure filters op de edge zou je overigens alleen op edge devices echt behoefte hebben aan "ip receive" of een emulatie ervan met access-lists.
Verder is het opzetten van infrastructure access-lists (/filters) aan de netwerk edges hoe dan ook een goed idee. De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials etc); Het zijn trouwens typisch best practices voor alle netwerk appratuur, niet alleen die van Cisco.
Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen op qorbit.net).
Yup, hoop goed leesvoer op cymru. Boudewijn