ZoneBasedFirewall对系统性能影响

最新推荐文章于 2022-03-12 10:24:19 发布
最新推荐文章于 2022-03-12 10:24:19 发布
阅读量1k 收藏
点赞数
分类专栏: Networking 文章标签: 防火墙 Firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wunderup/article/details/41043709
版权

当zone based firewall激活的时候,1002X平台上,在14MPPS流量情况下,QFP利用率是86%
当zone based firewall没有激活的时候,1002X平台上,在14MPPS流量情况下,QFP利用率是38%

UUT: 1002X,36G Throughput License 

ASR1002x-3#show inter sum


 *: interface is up
 IHQ: pkts in input hold queue     IQD: pkts dropped from input queue
 OHQ: pkts in output hold queue    OQD: pkts dropped from output queue
 RXBS: rx rate (bits/sec)          RXPS: rx rate (pkts/sec)
 TXBS: tx rate (bits/sec)          TXPS: tx rate (pkts/sec)
 TRTL: throttle count


  Interface                   IHQ       IQD       OHQ       OQD      RXBS      RXPS      TXBS      TXPS      TRTL
-----------------------------------------------------------------------------------------------------------------
  GigabitEthernet0/0/0          0         0         0         0         0         0         0         0         0
  GigabitEthernet0/0/1          0         0         0         0         0         0         0         0         0
  GigabitEthernet0/0/2          0         0         0         0         0         0         0         0         0
  GigabitEthernet0/0/3          0         0         0         0         0         0         0         0         0
  Gi0/0/3.2                     -         -         -         -         -         -         -         -         -
  Gi0/0/3.3                     -         -         -         -         -         -         -         -         -
  GigabitEthernet0/0/4          0         0         0         0         0         0         0         0         0
  GigabitEthernet0/0/5          0         0         0         0         0         0         0         0         0
* Te0/1/0                       0         0         0         0 3583855000   6999716 3583793000   6999595         0
* Te0/2/0                       0         0         0         0 3583898000   6999799 3583959000   6999918         0
* Te0/3/0                       0         0         0         0         0         0         0         0         0
* GigabitEthernet0              1         0         0         0      1000         0         0         0         0
NOTE:No separate counters are maintained for subinterfaces
     Hence Details of subinterface are not shown
ASR1002x-3#show pl hard qfp ac datapath utilization 
  CPP 0: Subdev 0            5 secs        1 min        5 min       60 min
Input:  Priority (pps)            0            0            0            0
                 (bps)            0            0            0            0
    Non-Priority (pps)     14000534     14000702     10850439      9822333
                 (bps)   7616290816   7616381944   5902638992   5343349568
           Total (pps)     14000534     14000702     10850439      9822333
                 (bps)   7616290816   7616381944   5902638992   5343349568
Output: Priority (pps)            0            0            0            0
                 (bps)          160          208          208          208
    Non-Priority (pps)     14000538     14000705     10850172      9821847
                 (bps)   8960362424   8960464096   6944123032   6285992912
           Total (pps)     14000538     14000705     10850172      9821847
                 (bps)   8960362584   8960464304   6944123240   6285993120
Processing: Load (pct)           86           86           66           59


ASR1002x-3#sh ip inter br
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0/0   unassigned      YES NVRAM  down                  down    
GigabitEthernet0/0/1   unassigned      YES NVRAM  down                  down    
GigabitEthernet0/0/2   unassigned      YES NVRAM  down                  down    
GigabitEthernet0/0/3   unassigned      YES NVRAM  down                  down    
GigabitEthernet0/0/3.2 14.0.0.2        YES NVRAM  down                  down    
GigabitEthernet0/0/3.3 34.0.0.2        YES NVRAM  down                  down    
GigabitEthernet0/0/4   unassigned      YES NVRAM  down                  down    
GigabitEthernet0/0/5   unassigned      YES NVRAM  down                  down    
Te0/1/0                10.1.0.1        YES manual up                    up      
Te0/2/0                10.2.0.1        YES manual up                    up      
Te0/3/0                unassigned      YES NVRAM  up                    up      
GigabitEthernet0       10.74.6.3       YES NVRAM  up                    up      
ASR1002x-3#
ASR1002x-3#
ASR1002x-3#sh run inte  
ASR1002x-3#show
ASR1002x-3#show ru
ASR1002x-3#show running-config inter
ASR1002x-3#show running-config interface te
ASR1002x-3#show running-config interface tenGigabitEthernet 0/1/0
Building configuration...


Current configuration : 129 bytes
!
interface TenGigabitEthernet0/1/0
 ip address 10.1.0.1 255.255.0.0
 zone-member security in
 load-interval 30
 cdp enable
end


ASR1002x-3#show running-config interface tenGigabitEthernet 0/2/0
Building configuration...


Current configuration : 130 bytes
!
interface TenGigabitEthernet0/2/0
 ip address 10.2.0.1 255.255.0.0
 zone-member security out
 load-interval 30
 cdp enable
end


ASR1002x-3#cppload
  CPP 0: Subdev 0            5 secs        1 min        5 min       60 min
Input:  Priority (pps)            0            0            0            0
                 (bps)            0            0            0            0
    Non-Priority (pps)     14000535     14000659     14000749      9261866
                 (bps)   7616291472   7616358768   7616407704   5038455336
           Total (pps)     14000535     14000659     14000749      9261866
                 (bps)   7616291472   7616358768   7616407704   5038455336
Output: Priority (pps)            0            0            0            0
                 (bps)          248          208          208          208
    Non-Priority (pps)     14000540     14000663     14000753      9261379
                 (bps)   8960361640   8960436784   8960494336   5927294304
           Total (pps)     14000540     14000663     14000753      9261379
                 (bps)   8960361888   8960436992   8960494544   5927294512
Processing: Load (pct)           86           86           86           56


ASR1002x-3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ASR1002x-3(config)#inter
ASR1002x-3(config)#interface te
ASR1002x-3(config)#interface tenGigabitEthernet 0/1/0
ASR1002x-3(config-if)#no zone
ASR1002x-3(config-if)#no zone-member se
ASR1002x-3(config-if)#no zone-member security in 
ASR1002x-3(config-if)#interface tenGigabitEthernet 0/2/0
ASR1002x-3(config-if)#no zone-member security out       
ASR1002x-3(config-if)#end
ASR1002x-3#
ASR1002x-3#
*Nov 12 06:39:26.510: %SYS-5-CONFIG_I: Configured from console by vty0 (10.74.9.190)
ASR1002x-3#cppload
  CPP 0: Subdev 0            5 secs        1 min        5 min       60 min
Input:  Priority (pps)            0            0            0            0
                 (bps)            0            0            0            0
    Non-Priority (pps)     14000531     14000682     14000739      9234333
                 (bps)   7616289080   7616371384   7616402040   5023477352
           Total (pps)     14000531     14000682     14000739      9234333
                 (bps)   7616289080   7616371384   7616402040   5023477352
Output: Priority (pps)            0            0            0            0
                 (bps)          160          208          208          200
    Non-Priority (pps)     14000534     13009622     13802529      9217329
                 (bps)   8960350720   8326170896   8833631560   5899101824
           Total (pps)     14000534     13009622     13802529      9217329
                 (bps)   8960350880   8326171104   8833631768   5899102024
Processing: Load (pct)           38           78           85           56


ASR1002x-3#


wunderup
关注
专栏目录
路由器taildrop丢包原因总结分析
跳着Samba的狮子
11-12 8975
Taildrop在路由器上是一种非常常见的丢包策略。如果路由器进来数据包的总bps超过了路由器能处理的bps,那么,某些数据包就会被丢弃,而丢包原因就是taildrop。 这种情况下的丢包,和路由器过载无法处理(一般是pps达到了路由器处理的上限)是完全不一样的。路由器因为pps过大导致路由器过载而丢包,这样的包很可能都没有丢包原因的。 下面的这个例子,路由器dataplane的处理能
Cisco IOS Zone-Based Firewall
blakegao的专栏
09-11 1698
要求: outbound流量: 1。监控http/smtp/telnet/ICMP协议 2. 限制tcp三次握手必须在15秒内完成 3.进行半开连接限制(high:1000/low:800) inbound 流量: 1,放行访问内部服务器的http流量 2.进行半开连接限制(high:100/low:80) 简单配置: ******************************
Zone-based User Based Firewall
weixin_33709364的博客
12-27 109
User Group Firewall is a mechanism to authenticate each user and provide access privileges based on the type of user being authenticated. The authentication is done by a RADIUS server. The ...
Cisco的ios防火墙技术之一--ciso zone-based FW的原理及配置实例解析
Stephen_jj的博客
04-24 1422
Cisco的ios防火墙技术之一–ciso zone-based FW 续上篇的CBAC,本篇再讲ios防火墙的另外一个–cisco zone-based ,相对而已是比CBAC更加优化了许多。感兴趣的话请您往下看。 zone-based firewall 介绍 我们知道CBAC提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护,所有穿过这个接口的流量收到相同的审查策略的保护,这样就降...
Cisco Zone Base FireWall介绍及配置
风云刀的CSDN博客
10-08 2140
ZFW技术对原有的CBAC功能进行了增强,ZFW策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。 ZFW提供了状态型的包检测,URL过滤,对DOS攻击的减缓等功能,同时提供了多种协议的支持,例如HTTP、POP3、I...
基本Zone-base firewall知识及配置
weixin_34221775的博客
10-23 338
ZFW技术对原有的CBAC功能进行了增强,ZWF策略防火墙改变了基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接口相连的多个组上。 ZFW提供了状态型的包检测,URL过滤,对DOS***的减缓等功能,同时提供了多...
CNA—Cisco Network Assistant (VTP,VLAN,ETHERNET-CHANNEL)
weixin_34167043的博客
05-19 366
在思科为中小型企业(SMBs)生产的产品线中,它为大家提供了一个免费的工具Cisco Network Assistant (CNA)来帮助大家配置思科的设备。当然,你可能会认为,这个目标直指中小型企业的工具对你来说并不一定适用,但是,要记住的是在思科的术语中,"中小型企业"可能是一个相当大的企业,至少在我的观点中是这样的。这个工具是免费的,因此,你可以从思...
show命令
weixin_30273931的博客
06-08 86
数据库show databases;表show tables;show tables in xxdb;show tables 'a*';tblpropertiesshow tblproperties t1;分区show partitions t1;show partitions t1 partition(xx=yy);函数show functions;来自为知笔记(Wiz) 转载于:https:/...
iproute: tc
daniel117的专栏
12-10 1731
名称:tc - 显示/维护流量控制设置  命令格式:  tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] qdisc [ qdisc specific parameters ]  tc class [ add | change
网络性能测试(系统层面、针对Linux、安卓)
博客
03-12 2868
网络性能指标以及ping测试(Linux) 1、网络可用性 测试方式:ping命令验证网络连通。 命令参数: -d 使用Socket的SO_DEBUG功能。 -f 极限检测。大量且快速地送网络封包给一台机器,看它的回应。压它! -n 只输出数值。 -q 不显示任何传送封包的信息,只显示最后的结果。 -r 忽略普通的Routing Table,直接将数据包送到远端主机上。通常是查看本机的网络接口是否有问题。 -R 记录路由过程。 -v 详细显示指令的执行过程。 <p>-c 数目:在发送指定数
firewallzone概念
可能青蛙的专栏
06-17 5630
firewalld 提供的区域按照从不信任到信任的顺序排序。 丢弃 drop 任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。 阻塞 block 任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。 公开 public 用以可
CISCO交换机查看接口上IP流量
热门推荐
iloli的专栏
03-13 6万+
1、sh int summary (查看RXBS 每秒接收位数 和TXBS 每秒发送位数)  或 sh int  (查看每个接口速度,5 minute input rate 0 bits/sec, 0 packets/sec与5 minute output rate 0 bits/sec, 0 packets/sec) 2、sh mac-address-table interface fast
cisco show interface详解
gotonet的专栏
10-29 2616
Router#show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit,
西班牙电信阿根廷公司推出由Mavenir提供的信令防火墙
美国商业资讯的博客
10-10 769
基于人工智能/机器学习(AI/ML)的解决方案,加上已推出的反垃圾邮件解决方案,将为阿根廷Movistar客户提供保护和改进服务 德州理查森--(美国商业资讯)--致力于帮助通信服务提供商(CSP)加速软件网络转型和重新定义移动网络经济的领导者Mavenir和西班牙电信阿根廷公司(Telefónica Argentina)已部署Mavenir的信令防火墙,将通过检测和阻止基于信号的攻击来...
NAT和GRE tunnel在思科路由器上的实现
跳着Samba的狮子
08-05 6807
Topology: Client: 90.1.0.8)
如何让EIGRP支持64bit的Metric
跳着Samba的狮子
11-13 6329
在默认情况下,思科路由器只支持32bit的metric计算方法。如果要让路由器支持64bit的m
一种MSRPC协议Longivity test的方法
跳着Samba的狮子
08-01 5538
MSRPC是Microsoft基于DCE RPC扩展后的一种RPC协议,中间加入了很多
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值