Şəbəkə cihazlarında ACL-lər (Access Control List) həm aparat və proqram təminatında, həm də daha çox desək, aparat və proqram təminatı əsaslı ACL-lərdə həyata keçirilə bilər. Proqrama əsaslanan ACL-lər ilə hər şey aydın olmalıdırsa - bunlar RAM-da (yəni İdarəetmə Planında) saxlanılan və emal edilən qaydalardır, bütün sonrakı məhdudiyyətlərlə, onda biz aparat əsaslı ACL-lərin necə həyata keçirildiyini başa düşəcəyik və öz funksiyalarımızı yerinə yetirəcəyik. məqalə. Nümunə olaraq, Extreme Networks-dən ExtremeSwitching seriyasından olan açarlardan istifadə edəcəyik.
Aparat əsaslı ACL-lərlə maraqlandığımız üçün Data Plane və ya istifadə olunan faktiki çipsetlərin (ASIC) daxili tətbiqi bizim üçün böyük əhəmiyyət kəsb edir. Bütün Ekstremal Şəbəkələrin keçid xətləri Broadcom ASIC-lərdə qurulur və buna görə də aşağıdakı məlumatların əksəriyyəti eyni ASIC-lərdə tətbiq olunan bazardakı digər açarlar üçün də doğru olacaqdır.
Yuxarıdakı şəkildən göründüyü kimi, "ContentAware Mühərriki" çipsetdə ACL-lərin işləməsinə birbaşa cavabdehdir, ayrıca "giriş" və "çıxış" üçün. Memarlıq baxımından onlar eynidir, yalnız “çıxış” daha az genişlənir və daha az funksionaldır. Fiziki olaraq hər iki "ContentAware Mühərrikləri" TCAM yaddaşı və onu müşayiət edən məntiqdir və hər bir istifadəçi və ya sistemin ACL qaydası bu yaddaşa yazılmış sadə bit maskasıdır. Buna görə çipset trafik paketini paketlər üzrə emal edir və performansını itirmədən.
Fiziki olaraq, eyni Giriş/Çıxış TCAM, öz növbəsində, məntiqi olaraq, "ACL dilimləri" adlanan bir neçə seqmentə (yaddaşın özündən və platformanın miqdarından asılı olaraq) bölünür. Məsələn, dizüstü kompüterinizdə bir neçə məntiqi disk yaratdığınız zaman eyni şey fiziki olaraq eyni HDD ilə baş verir - C:>, D:>. Hər bir ACL dilimi öz növbəsində “qaydaların” (qaydalar/bit maskaları) yazıldığı “sətirlər” şəklində yaddaş hüceyrələrindən ibarətdir.
TCAM-ın ACL-dilimlərə bölünməsinin arxasında müəyyən məntiq dayanır. Fərdi ACL dilimlərinin hər birində yalnız bir-biri ilə uyğun gələn “qaydalar” yazıla bilər. Əgər “qaydalardan” hər hansı biri əvvəlki ilə uyğun gəlmirsə, əvvəlkində “qaydalar” üçün neçə boş sətir qalmasından asılı olmayaraq, növbəti ACL-diliminə yazılacaq.
ACL qaydalarının bu uyğunluğu və ya uyğunsuzluğu haradan qaynaqlanır? Fakt budur ki, "qaydaların" yazıldığı bir TCAM "xətti" 232 bit uzunluğuna malikdir və bir neçə sahəyə bölünür - Sabit, Sahə1, Sahə2, Sahə3. 232 bit və ya 29 bayt TCAM yaddaşı müəyyən MAC və ya IP ünvanının bit maskasını qeyd etmək üçün kifayətdir, lakin tam Ethernet paket başlığından çox azdır. Hər bir fərdi ACL dilimində ASIC F1-F3-də quraşdırılmış bit maskasına uyğun olaraq müstəqil axtarış həyata keçirir. Ümumiyyətlə, bu axtarış Ethernet başlığının ilk 128 baytından istifadə etməklə həyata keçirilə bilər. Əslində, axtarış 128 baytdan çox həyata keçirilə bildiyindən, ancaq yalnız 29 bayt yazıla biləcəyi üçün, düzgün axtarış üçün paketin əvvəlinə nisbətən ofset təyin edilməlidir. Hər bir ACL dilimi üçün ofset ona birinci qayda yazıldıqda təyin edilir və əgər sonrakı qayda yazarkən başqa ofsetə ehtiyac aşkar edilərsə, belə bir qayda birinci ilə uyğun gəlməyən hesab edilir və ona yazılır. növbəti ACL dilimi.
Aşağıdakı cədvəl ACL-də göstərilən şərtlərin uyğunluq sırasını göstərir. Hər bir fərdi sətir bir-biri ilə uyğun gələn və digər xətlərlə uyğun olmayan yaradılan bit maskalarını ehtiva edir.
ASIC tərəfindən işlənmiş hər bir fərdi paket hər bir ACL dilimində paralel axtarış aparır. Yoxlama ACL dilimindəki ilk uyğunluğa qədər aparılır, lakin müxtəlif ACL dilimlərində eyni paket üçün bir neçə uyğunluğa icazə verilir. Hər bir fərdi "qayda" şərt (bit maskası) uyğun olduqda yerinə yetirilməli olan müvafiq hərəkətə malikdir. Bir anda bir neçə ACL-dilimdə uyğunluq baş verirsə, o zaman "Fəaliyyət Münaqişəsinin Həlli" blokunda ACL diliminin prioriteti əsasında hansı hərəkətin yerinə yetiriləcəyinə qərar verilir. Əgər ACL-də həm “hərəkət” (icazə vermək/inkar etmək) və “fəaliyyət dəyişdiricisi” (count/QoS/log/…) göstərilibsə, o zaman çoxlu uyğunluqlar olduqda, yalnız daha yüksək prioritet “fəaliyyət” yerinə yetiriləcək. "fəaliyyət dəyişdiricisi" hamısı tamamlanacaq. Aşağıdakı nümunə göstərir ki, hər iki sayğac artırılacaq və daha yüksək prioritet olan “inkar” yerinə yetiriləcək.
veb saytında ACL-nin ictimai sahədə işləməsi haqqında daha ətraflı məlumatla . Yaranan və ya qalan suallar həmişə ofis işçilərimizə verilə bilər - .
Mənbə: www.habr.com