يمكن تنفيذ قوائم ACL (قائمة التحكم في الوصول) على أجهزة الشبكة في كل من الأجهزة والبرامج، أو بشكل أكثر شيوعًا، قوائم ACL المستندة إلى الأجهزة والبرامج. وإذا كان كل شيء يجب أن يكون واضحًا مع قوائم ACL المستندة إلى البرامج - فهذه هي القواعد التي يتم تخزينها ومعالجتها في ذاكرة الوصول العشوائي (أي على مستوى التحكم)، مع كل القيود المترتبة على ذلك، فسنفهم كيفية تنفيذ قوائم ACL المستندة إلى الأجهزة وعملنا شرط. على سبيل المثال، سوف نستخدم محولات من سلسلة ExtremeSwitching من Extreme Networks.
نظرًا لأننا مهتمون بقوائم ACL القائمة على الأجهزة، فإن التنفيذ الداخلي لمستوى البيانات، أو مجموعات الشرائح الفعلية (ASICs) المستخدمة، له أهمية قصوى بالنسبة لنا. جميع خطوط محولات Extreme Networks مبنية على شرائح ASIC من Broadcom، وبالتالي فإن معظم المعلومات الواردة أدناه ستكون صحيحة أيضًا بالنسبة للمحولات الأخرى الموجودة في السوق والتي يتم تنفيذها على نفس شرائح ASIC.
كما يتبين من الشكل أعلاه، فإن "ContentAware Engine" هو المسؤول بشكل مباشر عن تشغيل قوائم ACL في مجموعة الشرائح، بشكل منفصل عن "الدخول" و"الخروج". من الناحية المعمارية، فهي متماثلة، فقط "الخروج" هو الأقل قابلية للتوسع وأقل وظيفية. ماديًا، كلا "محركي ContentAware" عبارة عن ذاكرة TCAM بالإضافة إلى المنطق المصاحب، وكل قاعدة ACL للمستخدم أو النظام عبارة عن قناع بت بسيط مكتوب على هذه الذاكرة. ولهذا السبب تقوم مجموعة الشرائح بمعالجة حزم حركة المرور تلو الأخرى دون تدهور الأداء.
ماديًا، يتم تقسيم نفس Ingress/Egress TCAM بدوره منطقيًا إلى عدة أجزاء (اعتمادًا على حجم الذاكرة نفسها والمنصة)، ما يسمى بـ "شرائح ACL". على سبيل المثال، يحدث نفس الشيء مع نفس محرك الأقراص الثابتة فعليًا الموجود على الكمبيوتر المحمول الخاص بك عندما تقوم بإنشاء عدة محركات أقراص منطقية عليه - C:>، D:>. تتكون كل شريحة ACL بدورها من خلايا ذاكرة على شكل "سلاسل" حيث تتم كتابة "القواعد" (القواعد/أقنعة البت).
إن تقسيم TCAM إلى شرائح ACL له منطق معين وراءه. في كل شريحة من شرائح ACL الفردية، يمكن كتابة "القواعد" المتوافقة مع بعضها البعض فقط. إذا كانت أي من "القواعد" غير متوافقة مع السابقة، فسيتم كتابتها إلى شريحة ACL التالية، بغض النظر عن عدد الأسطر الحرة لـ "القواعد" المتبقية في الشريحة السابقة.
من أين يأتي هذا التوافق أو عدم التوافق مع قواعد ACL؟ الحقيقة هي أن "خط" TCAM واحد، حيث تتم كتابة "القواعد"، يبلغ طوله 232 بت وينقسم إلى عدة مجالات - ثابت، Field1، Field2، Field3. ذاكرة TCAM سعة 232 بت أو 29 بايت كافية لتسجيل قناع البت لعنوان MAC أو IP محدد، ولكنها أقل بكثير من رأس حزمة Ethernet الكاملة. في كل شريحة ACL فردية، تقوم ASIC بإجراء بحث مستقل وفقًا لقناع البت الذي تم تعيينه في F1-F3. بشكل عام، يمكن إجراء هذا البحث باستخدام أول 128 بايت من رأس Ethernet. في الواقع، على وجه التحديد لأنه يمكن إجراء البحث على أكثر من 128 بايت، ولكن يمكن كتابة 29 بايت فقط، لإجراء بحث صحيح، يجب تعيين إزاحة بالنسبة لبداية الحزمة. يتم تعيين الإزاحة لكل شريحة ACL عند كتابة القاعدة الأولى عليها، وإذا تم اكتشاف الحاجة إلى إزاحة أخرى عند كتابة قاعدة لاحقة، فإن هذه القاعدة تعتبر غير متوافقة مع الأولى ويتم كتابتها إلى شريحة ACL التالية.
يوضح الجدول أدناه ترتيب توافق الشروط المحددة في قائمة التحكم بالوصول (ACL). يحتوي كل سطر فردي على أقنعة بت تم إنشاؤها متوافقة مع بعضها البعض وغير متوافقة مع الخطوط الأخرى.
تقوم كل حزمة فردية تتم معالجتها بواسطة ASIC بإجراء بحث متوازي في كل شريحة ACL. يتم إجراء الفحص حتى المطابقة الأولى في شريحة ACL، ولكن يُسمح بمطابقات متعددة لنفس الحزمة في شرائح ACL مختلفة. كل "قاعدة" فردية لها إجراء مطابق يجب تنفيذه إذا كان الشرط (قناع البت) مطابقًا. في حالة حدوث تطابق في عدة شرائح ACL في وقت واحد، ففي كتلة "حل تعارض الإجراء"، بناءً على أولوية شريحة ACL، يتم اتخاذ القرار بشأن الإجراء الذي سيتم تنفيذه. إذا كانت قائمة التحكم بالوصول (ACL) تحتوي على كل من "الإجراء" (السماح/الرفض) و"معدل الإجراء" (العدد/جودة الخدمة/السجل/...)، ففي حالة التطابقات المتعددة، سيتم تنفيذ "الإجراء" ذو الأولوية الأعلى فقط، بينما "الإجراء" -modifier" سيتم الانتهاء من كل شيء. يوضح المثال أدناه أنه سيتم زيادة كلا العدادين وسيتم تنفيذ "الرفض" ذي الأولوية الأعلى.
مع معلومات أكثر تفصيلاً حول تشغيل ACL في المجال العام على الموقع . يمكن دائمًا طرح أي أسئلة تنشأ أو تبقى على موظفي مكتبنا - .
المصدر: www.habr.com