
6 trin til implementering af Zero Trust-principperne
Download guiden til CISO’er og IT-chefer i danske virksomheder: 6 trin til implementering af Zero Trust-principperne.
I modsætning til tidligere generationer af ISR-routere har man på 4k-platformene haft stort set garanteret throughput, uanset hvilke features der er aktiveret. For at kunne gøre det rent teknisk, har man designet platformene med overskud af hestekræfter i form af kraftige CPU’er med flere cores, og holdt kapaciteten på et niveau, hvor man er sikker på, at der er CPU-cycles nok til at håndtere alle features. I praksis er det implementeret med en intern traffic shaper, som groft sagt shaper den samlede mængde egress trafik ned til den performance, en given model er opgivet til.
En ISR 4431 har eksempelvis en basis-performance på 500 Mbps og mulighed for tilkøb af en performance-licens, som hæver det til 1 Gbps. Ved aktivering af performance-licensen justeres den interne shaper op, og på visse platforme aktiveres flere cores til dataplane forwarding – alt sammen uafhængigt af aktiverede features. CPU-load er også for de fleste platforme relativt beskedent ved maksimal belastning, netop for at kunne håndtere flere features ved garanteret performance.
Hvis man har en router med performance-licens, der ikke længere kan følge med trafikmængden, har det, indtil for nyligt, kun været en mulighed at skifte routeren ud med en større model. Men med IOS-XE 16.7.1 “Fuji” releasen kom der også et nyt licens-niveau – Booster Performance License – som fungerer på en lidt anden måde end den tidligere performance licens.
Booster-licensen fjerner helt den interne traffic shaper, og man er nu kun begrænset af, hvad platformens dataplane-CPU kan følge med til. Til gengæld er maximal performance ikke længere ”forudsigelig”, fordi throughput nu er afhængigt af, hvilke features der er aktiveret – ligesom det var med ISR G2-modellerne. Med booster-licens er det derfor endnu mere vigtigt at holde et vågent øje på CPU-load på routerne.
En ISR 4431 med performance-licens og et 1 Gbps trafik har et CPU-load på omkring 18%, og med en booster-licens og 4 Gbps trafik et CPU load på omkring 62% (IP Routing @ IMIX)
IPSec throughput hæves også, forudsat at der allerede er en HSEC license, som er påkrævet for >85 Mbps IPSec.
-Bo Urskov
Download guiden til CISO’er og IT-chefer i danske virksomheder: 6 trin til implementering af Zero Trust-principperne.
NIS2 direktivet stiller skarpt på cyberkriminalitet og it-sikkerhed, og tvinger danske virksomheder til stærk digital grænsekontrol…
Kontakt Segmentering, direkte adgang til cloud, centraliseret management, zero-touch, SaaS (software-as-a-Service) optimering, IaaS (Infrastructure-as-a-Service), Microsoft Azure, Google Cloud, Amazon AWS, ThousandEyes,
Har Tech Tanken gjort dig nysgerrig på at vide mere? Så kan du følge med på hjemmesiden her eller du kan kontakte mig, hvis du har spørgsmål til denne tanke.
Mail: bur@wingmen.dk
Kbh.: Tobaksvejen 23B, 2. sal, 2860 Søborg
Aarhus: Lyshøjen 2, 1. sal tv., 8520 Lystrup
Odense: Stenhuggervej 21, 5230 Odense M
Telefon: 70202110
Mail: info@wingmen.dk
CVR: 36440228