Siemens SIMATIC NET RUGGEDCOM RX5000 Konfigurationshandbuch Seite 557

Layer 3
9.1.6 Größe der Layer-3-Switch-Routing-Tabelle
•
•
9.1.6 Größe der Layer-3-Switch-Routing-Tabelle
Die Routing-Tabelle in einem Software-Router ist nur durch die Menge verfügbaren
Speichers begrenzt; ihre Größe kann virtuell unbegrenzt sein. Die Größe des TCAM in
Layer-3-Switching-ASICs ist jedoch deutlich eingeschränkt und ist unter Umständen
nicht ausreichend für alle Layer-3-Switching-Regeln. Wenn das TCAM voll ist und
eine neue statische Regel angelegt wird, ersetzt die neue Regel eine dynamisch
eingelernte Regel. Wenn alle Regeln im TCAM statisch sind, wird die neue statische
Regel abgelehnt.
9.1.7 Interaktion mit der Firewall
Wenn die Sicherheit ein wichtiger Aspekt ist und Sie eine Firewall in einem Layer-3-
Switch verwenden, ist es wichtig zu verstehen, wie der Layer-3-Switch mit der
Firewall interagiert.
Ein Software-Router arbeitet stets in Übereinstimmung mit einer Firewall, sodass die
Firewall-Regeln jederzeit angewandt werden. Wenn bei einem Layer-3-Switch im
Switching-ASIC (z.B. aufgrund einer statisch konfigurierten Route) eine Switching-
Regel eingestellt wird, dann schaltet der ASIC den gesamten, mit der Regel
übereinstimmenden Verkehr, noch bevor die Firewall den Verkehr prüft.
ASICs von Layer-3-Switches sind im Hinblick auf die Definition von Switching-Regeln
eher eingeschränkt. Aufgrund dieser Einschränkungen ist eine Konfiguration von
beliebigen Firewall-Regeln direkt in der Hardware des Layer-3-Switch nicht möglich.
Im Hinblick auf ausgeklügelte Firewall-Regeln muss die Firewall in der Software
implementiert werden und der Layer-3-Switch darf nicht den Verkehr schalten, der
der Firewall-Verarbeitung unterliegt.
Falls Änderungen an der Firewall-Konfiguration vorgenommen werden, können
einige der dynamisch gelernten Layer-3-Switching-Regeln im Konflikt mit der neuen
Firewall-Konfiguration stehen. Um potenzielle Probleme zu beheben, werden
dynamisch gelernte Layer-3-Switching-Regeln bei Änderungen an der Firewall-
Konfiguration entfernt. Die dynamisch gelernten Layer-3-Switching-Regeln müssen
anschließend neu gelernt werden, während die neuen Firewall-Regeln angewandt
werden.
512
Die unterstützte Bandbreite hängt von der Regel ab. Multicast-Verkehr hat
potenziell mehrere ausgehende VLANs und die insgesamt genutzte ASIC-
Bandbreite ist die eingehende Bandbreite multipliziert mit der Anzahl der
eingehenden und ausgehenden VLANs. Ein Multicast-Stream von 256 Mbit/s,
der in VLAN 1 eingeht und aus VLAN 2 und 3 ausgeht, benötigt beispielsweise
768 Mbit/s (256 Mbit/s × 3) der ASIC-Bandbreite.
Wenn ein Multicast-Paket an VLANs mit mehreren Ausgängen weitergeleitet
werden soll, geht es aus diesen VLANs nicht gleichzeitig, sondern nach und nach
heraus. Dies bedeutet, dass das Paket unterschiedliche Latenzzeiten für jedes
ausgehende VLAN hat.
RUGGEDCOM ROX II v2.15 Weboberfläche
Konfigurationshandbuch, 05/2022, C79000-G8900-1534-02