as an example of why you might decide to go out on the PBR limb...<div><br></div><div>in a company's network, you may have:</div><div><br></div><div><br></div><div>a network edge (foundry) with servers with lots of data on them</div>

<div><br></div><div>-- a distribution layer (foundry)</div><div><br></div><div>----  a core layer (foundry)</div><div><br></div><div>----  a core firewall (vendor X)</div><div><br></div><div>-- a dmz distribution layer (foundry)</div>

<div><br></div><div>a dmz network edge (foundry) with servers with lots of data on them</div><div><div><br></div><div><br></div><div>for most things, this is fine.  data is routed through the whole kit and kaboodle.</div>

<div><br></div><div>the core firewall, though, is not capable of 10Gbps (or higher),</div><div><br></div><div>so for *some* traffic - massive file transfers, etc - we want to skip the firewall layer.  for this, we'd use PBR on the core layer and on the dmz distribution layer, using a (say) 20Gbps link between the two (configured with a /30 - the far side is the next-hop.)  nothing but the selected special traffic is allowed over this 20Gbps link; everything else goes through the firewalls.</div>

<div><br></div><div><br></div><div>for musing.</div><div><br></div><div><br></div><div>n</div><div><br></div><div><div><br><div class="gmail_quote">On Fri, Feb 5, 2010 at 9:56 PM, Randy McAnally <span dir="ltr"><<a href="mailto:rsm@fast-serv.com">rsm@fast-serv.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div bgcolor="#ffffff">

<font size="2">That's how I do it.

<br>

<br>-- 

<br>

Randy 

<br><div class="im">

<br>

<br><b>---------- Original Message 

-----------</b>

<br>

From: Nick Morrison <<a href="mailto:nick@nick.on.net" target="_blank">nick@nick.on.net</a>> 

<br>

To: <a href="mailto:seph@directionless.org" target="_blank">seph@directionless.org</a> 

<br>

Cc: foundry-nsp <<a href="mailto:foundry-nsp@puck.nether.net" target="_blank">foundry-nsp@puck.nether.net</a>> 

<br>

Sent: Fri, 5 Feb 2010 21:29:33 +0000 

<br>

Subject: Re: [f-nsp] Policy based routing? 

<br>

<br>> Silly question,

<br>> 

<br>> If all you want is an ACL to block 

traffic, why not just use an access-group?

<br>> 

<br>> N

<br></div><b>l Message 

-------</b>

<br>

</font>

</div>

</blockquote></div><br><br clear="all"><br>-- <br>Nick Morrison <<a href="mailto:nick@nick.on.net">nick@nick.on.net</a>><br>

</div></div></div>