ACL's (Access Control List) op netwerktoestelle kan beide in hardeware en sagteware geïmplementeer word, of meer algemeen gesproke, hardeware en sagteware-gebaseerde ACL's. En as alles duidelik moet wees met sagteware-gebaseerde ACL's - dit is reëls wat in RAM gestoor en verwerk word (d.w.s. op die beheervlak), met al die gevolglike beperkings, dan sal ons verstaan hoe hardeware-gebaseerde ACL's geïmplementeer word en ons werk artikel. As voorbeeld sal ons skakelaars van die ExtremeSwitching-reeks van Extreme Networks gebruik.
Aangesien ons belangstel in hardeware-gebaseerde ACL's, is die interne implementering van die Data Plane, of die werklike skyfiestelle (ASIC's) wat gebruik word, van kardinale belang vir ons. Alle Extreme Networks skakellyne is gebou op Broadcom ASIC's, en daarom sal die meeste van die inligting hieronder ook waar wees vir ander skakelaars op die mark wat op dieselfde ASIC's geïmplementeer word.
Soos uit die figuur hierbo gesien kan word, is die "ContentAware Engine" direk verantwoordelik vir die werking van ACL's in die skyfiestel, afsonderlik vir "ingang" en "uitgang". Argitektonies is hulle dieselfde, net "uitgang" is minder skaalbaar en minder funksioneel. Fisies, beide "ContentAware Engines" is TCAM geheue plus gepaardgaande logika, en elke gebruiker of stelsel ACL reël is 'n eenvoudige bis-masker geskryf na hierdie geheue. Dit is hoekom die skyfiestel verkeer pakkie vir pakkie verwerk en sonder prestasie agteruitgang.
Fisies word dieselfde Ingress/Egress TCAM op sy beurt logies verdeel in verskeie segmente (afhangende van die hoeveelheid geheue self en die platform), die sogenaamde "ACL-skywe". Dieselfde ding gebeur byvoorbeeld met fisies dieselfde HDD op jou skootrekenaar wanneer jy verskeie logiese aandrywers daarop skep - C:>, D:>. Elke ACL-skyfie bestaan op sy beurt uit geheueselle in die vorm van "stringe" waar "reëls" (reëls/bismaskers) geskryf is.
Die verdeling van TCAM in ACL-skywe het 'n sekere logika agter dit. In elk van die individuele ACL-skywe kan slegs "reëls" geskryf word wat met mekaar versoenbaar is. As enige van die "reëls" nie versoenbaar is met die vorige een nie, sal dit na die volgende ACL-skyf geskryf word, ongeag hoeveel vrye reëls vir "reëls" in die vorige een oor is.
Waar kom hierdie versoenbaarheid of onverenigbaarheid van ACL-reëls dan vandaan? Die feit is dat een TCAM "lyn", waar "reëls" geskryf is, 'n lengte van 232 bisse het en in verskeie velde verdeel is - Fixed, Field1, Field2, Field3. 232-bis of 29-grepe TCAM-geheue is genoeg om die bis-masker van 'n spesifieke MAC- of IP-adres aan te teken, maar baie minder as die volle Ethernet-pakkieopskrif. In elke individuele ACL-sny voer die ASIC 'n onafhanklike opsoek uit volgens die bis-masker wat in F1-F3 gestel is. Oor die algemeen kan hierdie soektog uitgevoer word deur die eerste 128 grepe van die Ethernet-kopskrif te gebruik. Eintlik, juis omdat die soektog oor 128 grepe uitgevoer kan word, maar slegs 29 grepe geskryf kan word, vir 'n korrekte opsoek moet 'n offset relatief tot die begin van die pakkie gestel word. Die kompensasie vir elke ACL-sny word gestel wanneer die eerste reël daaraan geskryf word, en as, wanneer 'n daaropvolgende reël geskryf word, die behoefte vir 'n ander kompensasie ontdek word, word so 'n reël as onversoenbaar met die eerste beskou en word dit geskryf aan die volgende ACL-sny.
Die tabel hieronder toon die volgorde van verenigbaarheid van die voorwaardes gespesifiseer in die ACL. Elke individuele lyn bevat gegenereerde bis-maskers wat versoenbaar is met mekaar en onversoenbaar is met ander lyne.
Elke individuele pakkie wat deur die ASIC verwerk word, loop 'n parallelle opsoek in elke ACL-sny. Die kontrole word uitgevoer tot die eerste passing in die ACL-skyfie, maar veelvuldige passings word toegelaat vir dieselfde pakkie in verskillende ACL-skywe. Elke individuele "reël" het 'n ooreenstemmende aksie wat uitgevoer moet word as die toestand (bis-masker) ooreenstem. As 'n passing in verskeie ACL-skywe op een slag voorkom, word daar in die "Action Conflict Resolution"-blok, gebaseer op die prioriteit van die ACL-sny, 'n besluit geneem watter aksie om uit te voer. As die ACL beide "aksie" (toelaat/weier) en "aksie-wysiger" (telling/QoS/log/...) bevat, sal in die geval van veelvuldige passings slegs die hoër-prioriteit "aksie" uitgevoer word, terwyl "aksie" uitgevoer word -modifier” sal alles voltooi word. Die voorbeeld hieronder wys dat beide tellers verhoog sal word en die hoër prioriteit "weier" sal uitgevoer word.
met meer gedetailleerde inligting oor die werking van ACL in die publieke domein op die webwerf . Enige vrae wat ontstaan of oorbly kan altyd aan ons kantoorpersoneel gevra word - .
Bron: will.com