On woensdag, sep 17, 2003, at 21:07 Europe/Amsterdam, Boudewijn Visser wrote:
Een van de dingen waar ik eens van schrok was dat bij vendor C telnet access-lists (access-class op vty lines), snmp access-lists etc allemaal pas op de RP uitgevoerd worden.
Niet zo raar. Het gros van de produktlijn van Vendor C heeft 1 CPU voor alles, en het design van de software dat ze draaien is weinig veranderd sinds de AGS+, lijkt 't. De vraag voor hen is: hoeveel implementaties van OSPF en BGP en IS-IS willen ze parallel onderhouden? Het antwoord is uiteraard "Zo weinig mogelijk", wat een reden kan zijn voor een monolithic OS, maar misschien liggen de verschillende architecturen nu zodanig ver uit elkaar dat het lonend wordt om het IOS-roer fundamenteel om te gooien en er een echt OS onder te hangen met memory protection en andere nieuwerwetse fratsen van dien.
Ze zijn dus niet geimplementeerd als onzichtbare access-lists die overal op de linecard/VIP zitten, dat is pas het geval met de ip receive-acl. (en de 'gewone' access-lists, natuurlijk.)
Je zou denken dat als je ergens - waar dan ook - een access-list zet, het systeem slim genoeg zou moeten zijn om dit te vertalen in de juiste entries in de verschillende TCAM's en dergelijke, maar helaas is de techniek bij de meeste vendors nog niet zo ver. Om even een item van mijn wishlist te plukken: JunOS mist ook een `prefix-list me' die automatisch gevuld wordt met alle adressen van alle lokale interfaces.
(Niels, hoe zit 't met vendor F bv ? )
(welke Niels?) Daar kon je lang maar beter geen incoming access-lists doen (of waren het outgoing?) aangezien deze allemaal over de CPU gingen in plaats van in TCAM geprogrammeerd te worden. De SSH-implementatie is gebaseerd op die van F-Secure, dus naar ik vermoed niet vatbaar voor de bug uit het begin van deze thread. -- Niels. --