ACL在进入核心交换机时的性能怀疑
我们是一个ISP,我想实现ACL来保护我们的核心网络(基础设施),并在公共子网内部实现一些过滤。
作为边界设备,我们有一个思科WS-C4500X-324500x在VSS集群。
下游的峰值流量为3 3Gbps。我遵循指导方针,我已经定义了ACL,只剩下实现它们了。
我现在的疑问是,如果预期吞吐量会有所下降或cpu将上升,那么吞吐量性能将如何。设备能通过过滤处理这样的业务量吗?
我没有在如此高吞吐量的设备上实现ACL的经验。
edit.1
ACL样本:
ip access-list extended iACL
permit ip any 8.8.40.0 0.0.7.255
permit ip any 8.8.48.0 0.0.15.255
permit ip any 10.10.0.0 0.0.15.255
permit ip any 9.9.248.0 0.0.3.255
! External IP needing full access to our network
permit ip 7.7.176.0 0.0.31.255 any
permit ip 6.6.32.0 0.0.31.255 any
permit ip 5.5.160.0 0.0.31.255 any
permit ip 4.4.128.0 0.0.31.255 any
deny ip any any设备:CiscoWS4500X-32 (MPC8572)处理器(修订版4),内存为4194304K/20480K字节。MPC8572 CPU,1.5GHz,CiscoCataly4500 X
IOS :cat4500e-普遍化9.SPA.03.04.00.SG.151-2.SG (ROM: 15.0(1r)SG6)
回答 1
Network Engineering用户
发布于 2014-03-28 18:51:50
下游的峰值流量为3 3Gbps。我遵循指导方针,我已经定义了ACL,只剩下实现它们了。我现在的疑问是,如果预期吞吐量会有所下降或cpu将上升,那么吞吐量性能将如何。设备能通过过滤处理这样的业务量吗?
4500X使用与催化剂4500 Supervisor7类似的转发引擎/ TCAM (请参阅思科Live2013BRKAR-3445页101及以后的内容);该转发引擎以250 more的速度处理ACL,只要您不将数据包投注到CPU。显然,允许或拒绝日志条目会将数据包转储到CPU进行日志记录;然而,长时间的ACE端口号扩展(如permit tcp any any le 1024)也会迫使ACL进行处理。
根据您的ACL示例,您将不会有问题。你可以把这些应用到你的高容量接口上,不用担心.我包括一个关于Catalyst4500 ACL对CPU的影响的官方文档的信息链接
https://networkengineering.stackexchange.com/questions/7065
复制相似问题
腾讯云开发者
