[ACL] gebruik van ACL op switch? - Serversoftware en clouddiensten

donderdag 23 december 2004 19:41

Acties:

Keen must die!

Topicstarter

Voor de beveiliging van een netwerk van 100 servers zijn we nu op zoek naar een leuke switch/router die ondersteuning heeft van ACL (access lists). Helaas zie ik nergens een goede vergelijking danwel voordelen van een router tov een routing switch. De load zal continu 100 mbit zijn, een switch die dat layer 3 route, is dat nogwel wirespeed te noemen?

We hebben dus een Summit 7i van Extreme in gedachte, een prima core (routing) switch, met basic layer 3 licentie.

Zijn hier mensen die ervaring hebben met ACL op een switch en kunnen die indicatie geven van de performance? En wat zijn de voordelen van een dure router tov van een routing switch, aangezien wij niet de bedoeling hebben onze eigen bgp4 te draaien?

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

donderdag 23 december 2004 20:46

Acties:

FatalError

Routers zijn LANG niet zo snel als n goede (routing)switch (of je moet het 100-voudige oid uit willen geven).
Je hoeft overigens geen layer3 switch te hebben voor ACL's.. bijvoorbeeld de Cisco 2950 (layer 2 switch) kan ook acl's toepassen op L2/3/4 niveau.

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

vrijdag 24 december 2004 08:54

Acties:

StevenK

Ik heb er wel eens wat mee gedaan op een Avaya core switch, maar daar liepen we snel tegen het probleem aan dat 'ie echt stevig cpu tekort kwam om veel met ACL's te kunnen doen.

Maar als het goed is kun je dat redelijk uitrekenen aan de hand van de specs van zo'n ding.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

vrijdag 24 december 2004 10:28

Acties:

Stewie!

Keen must die!

Topicstarter

StevenK schreef op vrijdag 24 december 2004 @ 08:54:
Ik heb er wel eens wat mee gedaan op een Avaya core switch, maar daar liepen we snel tegen het probleem aan dat 'ie echt stevig cpu tekort kwam om veel met ACL's te kunnen doen.

Maar als het goed is kun je dat redelijk uitrekenen aan de hand van de specs van zo'n ding.

Hoe wil je dat uitrekenen dan?

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

vrijdag 24 december 2004 12:54

Acties:

StevenK

DaMorpheus schreef op vrijdag 24 december 2004 @ 10:28:
[...]

Hoe wil je dat uitrekenen dan?

Als 't goed is kan de leverancier je vertellen hoeveel tijd / cycles whatever het ding nodig heeft om een ACL entry te verwerken; aangezien je ook weet hoeveel verkeer je hebt, en je vast een aardig idee hebt van de grootte van de pakketjes kun je een ruwe schatting maken.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

zaterdag 25 december 2004 00:31

Acties:

Stewie!

Keen must die!

Topicstarter

Ik wilde de ACL's gaan gebruiken om bepaalde ip ranges te blokkeren (bijvoorbeeld bij hackpogingen op de servers), dat is gewoon mogelijk? Ik krijg van andere mensen namelijk weer te horen dat je dat wel kan vergeten op een switch en je dus een router nodig zou moeten hebben...

Van de ene kant geloof ik wel dat een switch dat wel kan, van de andere kant vraag ik me af waarom me dan een router aangeraden wordt

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

zaterdag 25 december 2004 00:39

Acties:

mph_rbi

dus ...

FatalError schreef op donderdag 23 december 2004 @ 20:46:
Routers zijn LANG niet zo snel als n goede (routing)switch (of je moet het 100-voudige oid uit willen geven).

edit: Err... ik heb weer eens verkeerd zitten lezen.. Jij verteld even precies hetzelfde wat ik ook wilde zeggen. Excuses... ik laat het maar staan ter informatie voor overige lezers.

Waar haal jij deze wijsheid vandaan? Een Cisco 3550 (zeer betaalbare L3 switch) kan wirespeed routing/forwarding doen met een whopping 6Mpps. Een beetje vergelijkbare router (7204VXR met NPE400 processor ofzo?) is zo'n 10 keer duurder en doet 400Kpps.

Fact: Een L3 switch is qua routering way sneller dan een router, terwijl het zelfs vele malen goedkoper is. Waarom zou je dan nog voor een router kiezen? Omdat een router ala 7204 meerdere soorten verbindingen aankan (oc3/ATM interfaces bijvoorbeeld). Indien je enkel ethernet doet en geen mega routetables hebt (like 1 full-view van 147K routes), is een L3 ALTIJD een beter alternatief.

Eerst le(z/r)en, dan pas praten, anders verwar je er een hoop mensen mee.

[ Voor 10% gewijzigd door mph_rbi op 25-12-2004 00:41 ]

dus ...

zaterdag 25 december 2004 00:44

Acties:

mph_rbi

dus ...

Van de ene kant geloof ik wel dat een switch dat wel kan, van de andere kant vraag ik me af waarom me dan een router aangeraden wordt

In principe moet iedere L3 switch (en zeker Cisco of Extreme) dit kunnen. De 7i is een prima switch waar je niet gemakkelijk tegen limieten aanloopt. Extreme switches staan erom bekend juist enorme performance te bieden. Wel storten ze snel in elkaar als ze mass-routing gaan doen met vele routes. Een Cisco (beter.. Juniper) is hier weer geschikter in. Succes met je zoektocht.

dus ...

zaterdag 25 december 2004 00:53

Acties:

Stewie!

Keen must die!

Topicstarter

mph_rbi schreef op zaterdag 25 december 2004 @ 00:44:
[...]

In principe moet iedere L3 switch (en zeker Cisco of Extreme) dit kunnen. De 7i is een prima switch waar je niet gemakkelijk tegen limieten aanloopt. Extreme switches staan erom bekend juist enorme performance te bieden. Wel storten ze snel in elkaar als ze mass-routing gaan doen met vele routes. Een Cisco (beter.. Juniper) is hier weer geschikter in. Succes met je zoektocht.

Ik ga niet eens echt routeren, alleen verkeer met ACI's filteren en wat vlans

Dat kan toch allemaal met de basic layer 3 licentie?

_{Btw, thx voor de bevestiging. Bedrijven als ProServce en Global Europe zeggen mij dus precies het tegenovergestelde van wat jullie aangeven}

[ Voor 12% gewijzigd door Stewie! op 25-12-2004 00:54 ]

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

zaterdag 25 december 2004 01:33

Acties:

mph_rbi

dus ...

proserve should know better :-)

dus ...

zaterdag 25 december 2004 12:08

Acties:

FatalError

Zoals ik al eerder gezegd heb... zelfs de Cisco 2950 (layer2) kan met ACL's overweg. Die is nog n stuk goedkoper dan de Cisco 3550

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y

zaterdag 25 december 2004 14:15

Acties:

mph_rbi

dus ...

aangezien de TS al een Extreme summit 7i heeft, lijkt het me redelijk overbodig om een 2950 aan te schaffen

. Wel een indrukwekkende L2 switch voor dat geld.

dus ...

zaterdag 25 december 2004 16:04

Acties:

Stewie!

Keen must die!

Topicstarter

mph_rbi schreef op zaterdag 25 december 2004 @ 14:15:
aangezien de TS al een Extreme summit 7i heeft, lijkt het me redelijk overbodig om een 2950 aan te schaffen . Wel een indrukwekkende L2 switch voor dat geld.

Iedereen is hier helemaal kapot van de 2950?

Persoonlijk gebruik ik liever de extreme summit 24e3, leuke switches voor weinig geld

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

zondag 26 december 2004 18:00

Acties:

zenith

De 7i kun je hier perfect voor gebruiken, de basic license is voldoende voor wat jij wilt.
De full license geeft je OSPF en IS-IS; heb jij totaal niet nodig.

De 7i is non-blocking, alleen de 1e lookup in je IP FDB wordt gedaan door de CPU, daarna is het blazen

Pagina: 1

Reageer