[GTER] Co-operative DDoS Mitigation

Rubens Kuhl rubensk at gmail.com
Fri Oct 23 13:28:31 -02 2015


>
>
> Mas falando de Cisco, RPF fica no hardware.
> Se não me engano Juniper é a mesma coisa.
>
> RPF custo de performance? TEM!
> Ou seja, numa conta de padeiro, teria que comprar uma caixa com o
> DOBRO(provavelmente menos) do poder do que estava planejando...
>

Em hardware-forwarding, RPF gera um problema de contenção, pois a mesma
tabela de roteamento precisa ser consultada para forwarding e para o drop.
Assim, RPF tipicamente divide a performance pela metade.

E ao contrário do que você afirmou antes, muitas vezes em
hardware-forwarding ACL também é feita em hardware em paralelo com o
roteamento para as input ACLs, então apenas output ACLs precisam esperar o
roteamento... um sistema configurado apenas com input ACLs pode operar mais
rapidamente que um sistema com RPF por causa disso. Alguns sistemas
conseguem combinar as output ACLs com a tabela de roteamento e otimizar
isso, mas é raro.


Rubens



More information about the gter mailing list