核心交换机入口ACL - 性能疑问

网络工程 思科 转变 ACL 表现 cisco-4500
2021-07-18 16:13:16

我们是一家 ISP,我想实施 ACL 来保护我们的核心网络(基础设施)并在内部实施一些公共子网过滤。

作为边界设备,我们在 VSS 集群中有一个 cisco WS-C4500X-32 4500x。

下行峰值流量为 3Gbps。我遵循这些指导方针,并且已经定义了 ACL,只需执行它们即可。

我现在的疑问是吞吐量性能如何,如果预计会有所下降或 cpu 会上升。设备可以通过过滤处理这样的流量吗?

我没有在如此高吞吐量的设备上实施 ACL 的经验。

[编辑.1]

ACL 示例: 

ip access-list extended iACL 
 permit ip any 8.8.40.0 0.0.7.255
 permit ip any 8.8.48.0 0.0.15.255
 permit ip any 10.10.0.0 0.0.15.255
 permit ip any 9.9.248.0 0.0.3.255 
 ! External IP needing full access to our network
 permit ip 7.7.176.0 0.0.31.255 any 
 permit ip 6.6.32.0 0.0.31.255 any
 permit ip 5.5.160.0 0.0.31.255 any
 permit ip 4.4.128.0 0.0.31.255 any 
 deny ip any any

设备:cisco WS-C4500X-32 (MPC8572) 处理器(修订版 4),内存为 4194304K/20480K 字节。MPC8572 CPU,1.5GHz,Cisco Catalyst 4500X

IOS : cat4500e-universalk9.SPA.03.04.00.SG.151-2.SG (ROM: 15.0(1r)SG6)

1个回答

下行峰值流量为 3Gbps。我遵循这些指导方针,并且已经定义了 ACL,只需执行它们即可。

我现在的疑问是吞吐量性能如何,如果预计会有所下降或 cpu 会上升。设备可以通过过滤处理这样的流量吗?

4500X 使用与 Catalyst 4500 Supervisor7 类似的转发引擎/TCAM(有关详细信息,请参阅 Cisco Live 2013 BRKARC-3445 第 101 页及之后);只要您不将数据包发送到 CPU,此转发引擎就会以 250Mpps 的速度处理 ACL。显然,允许或拒绝日志条目会将数据包发送到 CPU 进行日志记录;但是,长 ACE 端口号扩展(例如permit tcp any any le 1024)也可以强制 ACL CPU 处理。

根据您的 ACL 示例,您不会有问题。您可以毫无顾虑地将这些应用到您的高容量接口......我包含了一个关于Catalyst4500 ACL 如何影响 CPU的官方文档的信息链接

其它你可能感兴趣的问题
上一篇Cisco 路由器 Telnet 连接被拒绝 下一篇瞻博网络 - eBGP 更改通告路由上的下一跳