
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I would see if you can get your upstream providers to apply rules to a dedicated interface upstream (drop NTP, memcache, LDAP, rate limit SSDP), and connect that


 to your switch, which would announce the /32’s or /128’s to pull the traffic over. You would of course have to announce the /24 or /48 through the carrier that has the filters in place to ensure they get all the traffic. After post processing the spoofed traffic,


 it should leave you with flooding to take care of.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">--


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Ryan Hamel<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Network Administrator<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">ryan.hamel@quadranet.com | +1 (888) 578-2372<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">QuadraNet Enterprises, LLC. | Dedicated Servers, Colocation, Cloud<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> NANOG <nanog-bounces@nanog.org>


<b>On Behalf Of </b>Tim Jackson<br>


<b>Sent:</b> Tuesday, November 06, 2018 11:52 AM<br>


<b>To:</b> nanog@ics-il.net<br>


<b>Cc:</b> nanog list <nanog@nanog.org><br>


<b>Subject:</b> Re: Switch with high ACL capacity<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Juniper QFX10000(including 100002) supports ~64k ACL entries + FlowSpec<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">--<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Tim<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Tue, Nov 6, 2018 at 1:49 PM Mike Hammett <<a href="mailto:nanog@ics-il.net">nanog@ics-il.net</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<p class="MsoNormal" style="margin-bottom:12.0pt">The intent is to see if I can construct a poor man's DDOS scrubber. There are low cost systems out there for the detection, but they just trigger something else to do the work. Obviously there is black hole


 routing, but I'm looking for something with a bit more finesse.<br>


<br>


If I need to get a switch anyway, might as well try to take advantage of it for other uses.<br>


<br>


-----Mike HammettIntelligent Computing SolutionsMidwest Internet ExchangeThe Brothers WISP<br>


<br>


----- Original Message -----<br>


From: Lotia, Pratik M <<a href="mailto:Pratik.Lotia@charter.com" target="_blank">Pratik.Lotia@charter.com</a>><br>


To: Mike Hammett <<a href="mailto:nanog@ics-il.net" target="_blank">nanog@ics-il.net</a>>, 'nanog list' <<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>><br>


Sent: Tue, 06 Nov 2018 12:29:15 -0600 (CST)<br>


Subject: Re: Switch with high ACL capacity<br>


<br>


Mike,<br>


<br>


Can you shed some light on the use case? Looks like you are confusing ACLs and BGP Flowspec. ACLs and Flowspec rules are similar in some ways but they have a different use case. ACLs cannot be configured using Flowspec announcements. Flowspec can be loosely


 explained as 'Routing based on L4 rules' (there's a lot more to it than just L4). I doubt if a there is a Switch which can hold a large number of Flowspec entries.<br>


<br>


<br>


~Pratik Lotia<br>


“Improvement begins with I.”<br>


<br>


<br>


<span style="font-family:"Tahoma",sans-serif"></span>On 11/6/18, 10:39, "NANOG on behalf of Mike Hammett" <<a href="mailto:nanog-bounces@nanog.org" target="_blank">nanog-bounces@nanog.org</a> on behalf of


<a href="mailto:nanog@ics-il.net" target="_blank">nanog@ics-il.net</a>> wrote:<br>


<br>


    I am looking for recommendations as to a 10G or 40G switch that has the ability to hold a large number of entries in ACLs.<br>


<br>


    Preferred if I can get them there via the BGP flow spec, but some sort of API or even just brute force on the console would be good enough.<br>


<br>


    Used or even end of life is fine.<br>


<br>


    -----Mike HammettIntelligent Computing SolutionsMidwest Internet ExchangeThe Brothers WISP<br>


<br>


<br>


E-MAIL CONFIDENTIALITY NOTICE: <br>


The contents of this e-mail message and any attachments are intended solely for the addressee(s) and may contain confidential and/or legally privileged information. If you are not the intended recipient of this message or if this message has been addressed


 to you in error, please immediately alert the sender by reply e-mail and then delete this message and any attachments. If you are not the intended recipient, you are notified that any use, dissemination, distribution, copying, or storage of this message or


 any attachment is strictly prohibited.<o:p></o:p></p>


</blockquote>


</div>


</div>


</body>


</html>