Судя по таблице вы использовали классический подход к фаерволу и сделали правила по подсетям. (поправьте если ошибаюсь)
Если уж вы выбрали ролевую систему разделения, то не совсем понятно почему использовали правила по сетям.
При таком раскладе можно включить USER-ID, разделить пользователей на группы и фильтровать на уровне приложения.
Отрядить безопасников чтобы отсекли лишние приложения (которых тонны, я уверен), тогда и конфиг распухать не будет.
Я думаю они были бы безмерно счастливы.
Это опечатка или в квагге действительно смотрится вначале административаная дистанция а потом только длина префикса? Во всем сетевом оборудовании с которым я работал все в точности до наоборот — вначале сравнивается дина префика и выбирается более точный маршрут, если префиксы равны, то в дела вступает административная дистанция.
Касаемо опроса — поскольку там надо вводить данные паспорта, то я бы не хотел чтобы мои данные сохранялись.
Возможно они это специально сделали ввиду закона о перс данных.
Ну то есть, как уже и было сказано, архитектура ASR похожа на свич. ИМХО чем выше рангом железка тем меньше разницы между свичом и роутером. Яркий пример — 6500/7600 серия.
Но мне все равно не до конца ясно почему происходит такое падение производительности, если все функции в итоге обрабатываются аппаратно специализованной платой.
Хорошая статья, с удовольствием почитал.
А как происходит взаимодействие control и data plane? ASR 1000 может быстро гнать трафик, но в режиме NAT, QOS, PBR, ACL etc. его производительность падает. Насколько я понимаю функции ACL можно зашить в ASIC (и кто то так и делает). Что насчет других функций? Трафик тогда отправляется на обычный процессор и там обрабатывается?
Любое изменение в ИТ инфраструктуре (новый пользователь в АД или новая сетевая розетка как пример) должны быть согласованы с ИТ менеджером и отделом безопасности.
Обычно их вообще не видно на зубах, если в упор не разглядывать
Если уж вы выбрали ролевую систему разделения, то не совсем понятно почему использовали правила по сетям.
При таком раскладе можно включить USER-ID, разделить пользователей на группы и фильтровать на уровне приложения.
Отрядить безопасников чтобы отсекли лишние приложения (которых тонны, я уверен), тогда и конфиг распухать не будет.
Я думаю они были бы безмерно счастливы.
Возможно они это специально сделали ввиду закона о перс данных.
Но мне все равно не до конца ясно почему происходит такое падение производительности, если все функции в итоге обрабатываются аппаратно специализованной платой.
А как происходит взаимодействие control и data plane? ASR 1000 может быстро гнать трафик, но в режиме NAT, QOS, PBR, ACL etc. его производительность падает. Насколько я понимаю функции ACL можно зашить в ASIC (и кто то так и делает). Что насчет других функций? Трафик тогда отправляется на обычный процессор и там обрабатывается?