Ang mga ACL (Access Control List) sa mga device sa network mahimong ma-implementar sa hardware ug software, o mas kasagarang isulti, hardware ug software-based ACLs. Ug kung kinahanglan nga klaro ang tanan sa mga ACL nga nakabase sa software - kini ang mga lagda nga gitipigan ug giproseso sa RAM (ie sa Control Plane), uban ang tanan nga nagsunod nga mga pagdili, nan atong masabtan kung giunsa gipatuman ug gitrabaho ang mga ACL nga nakabase sa hardware. artikulo. Ingon usa ka pananglitan, mogamit kami mga switch gikan sa serye sa ExtremeSwitching gikan sa Extreme Networks.
Tungod kay interesado kami sa mga ACL nga nakabase sa hardware, ang internal nga pagpatuman sa Data Plane, o ang aktwal nga mga chipset (ASIC) nga gigamit, labing hinungdanon alang kanamo. Ang tanan nga mga linya sa switch sa Extreme Networks gitukod sa Broadcom ASIC, ug busa kadaghanan sa kasayuran sa ubos mahimo usab nga tinuod alang sa ubang mga switch sa merkado nga gipatuman sa parehas nga mga ASIC.
Ingon sa makita gikan sa numero sa ibabaw, ang "ContentAware Engine" direkta nga responsable alang sa operasyon sa mga ACL sa chipset, gilain alang sa "ingress" ug "egress". Sa arkitektura, managsama sila, ang "paggawas" lamang ang dili kaayo masukod ug dili kaayo magamit. Sa pisikal, ang duha ka "ContentAware Engines" mao ang TCAM nga panumduman ug ang nag-uban nga lohika, ug ang matag user o sistema nga ACL nga lagda usa ka yano nga bit-mask nga gisulat niini nga panumduman. Mao nga ang chipset nagproseso sa pakete sa trapiko pinaagi sa pakete ug walaβy pagkadaot sa pasundayag.
Sa pisikal, ang parehas nga Ingress / Egress TCAM, sa baylo, gibahin sa lohikal nga paagi sa daghang mga bahin (depende sa kantidad sa memorya mismo ug sa plataporma), ang gitawag nga "ACL slices". Pananglitan, ang parehas nga butang mahitabo sa pisikal nga parehas nga HDD sa imong laptop kung maghimo ka daghang mga lohikal nga drive niini - C:>, D:>. Ang matag ACL-slice, sa baylo, naglangkob sa mga selula sa memorya sa porma sa "mga kuwerdas" diin ang "mga lagda" (mga lagda / gamay nga maskara) gisulat.
Ang pagbahin sa TCAM ngadto sa ACL-slices adunay usa ka piho nga lohika sa luyo niini. Sa matag usa sa mga indibidwal nga ACL-slice, ang "mga lagda" lamang nga nahiuyon sa usag usa ang mahimong isulat. Kung ang bisan unsang "mga lagda" dili katugma sa nauna, nan kini isulat sa sunod nga ACL-slice, bisan pa kung pila ang libre nga linya alang sa "mga lagda" ang nahabilin sa miaging usa.
Diin man gikan kini nga pagkaangay o dili pagkaangay sa mga lagda sa ACL? Ang tinuod mao nga ang usa ka TCAM nga "linya", diin ang "mga lagda" gisulat, adunay gitas-on nga 232 ka bits ug gibahin sa daghang mga natad - Fixed, Field1, Field2, Field3. Ang 232 bit o 29 byte nga TCAM nga panumduman igo na aron irekord ang bit-mask sa usa ka piho nga MAC o IP address, apan labi ka gamay kaysa sa tibuuk nga header sa packet sa Ethernet. Sa matag indibidwal nga ACL-slice, ang ASIC nagpahigayon ug independent lookup sumala sa bit-mask set sa F1-F3. Sa kinatibuk-an, kini nga pagpangita mahimong ipahigayon gamit ang unang 128 bytes sa Ethernet header. Sa tinuud, tukma tungod kay ang pagpangita mahimoβg labaw sa 128 ka byte, apan 29 ka byte ra ang mahimo isulat, alang sa usa ka husto nga pagpangita usa ka offset kinahanglan nga itakda kalabot sa sinugdanan sa pakete. Ang offset alang sa matag ACL-slice gitakda kung ang unang lagda gisulat niini, ug kung, sa pagsulat sa sunod nga lagda, ang panginahanglan alang sa laing offset nadiskobrehan, nan ang maong lagda giisip nga dili uyon sa una ug gisulat sa sunod nga ACL-slice.
Ang lamesa sa ubos nagpakita sa han-ay sa pagkaangay sa mga kondisyon nga gipiho sa ACL. Ang matag indibidwal nga linya adunay namugna nga mga bit-mask nga nahiuyon sa usag usa ug dili uyon sa ubang mga linya.
Ang matag indibidwal nga pakete nga giproseso sa ASIC nagpadagan sa usa ka parallel lookup sa matag ACL-slice. Ang tseke gihimo hangtod sa unang duwa sa ACL-slice, apan daghang mga posporo ang gitugotan para sa samang pakete sa lain-laing ACL-slice. Ang matag indibidwal nga "lagda" adunay katugbang nga aksyon nga kinahanglan buhaton kung ang kondisyon (bit-mask) gipares. Kung ang usa ka duwa mahitabo sa daghang mga ACL-slice sa usa ka higayon, unya sa "Action Conflict Resolution" block, base sa prayoridad sa ACL-slice, usa ka desisyon ang gihimo kung unsang aksyon ang buhaton. Kung ang ACL adunay duha ka "aksyon" (permit/deny) ug "action-modifier" (count/QoS/log/...), unya sa kaso sa daghang mga posporo ang mas taas nga prayoridad nga "aksyon" ang ipatuman, samtang ang "aksyon" -modifier" makompleto ang tanan. Ang pananglitan sa ubos nagpakita nga ang duha ka mga counter madugangan ug ang mas taas nga prayoridad nga "pagdumili" ipatuman.
uban ang mas detalyado nga impormasyon bahin sa operasyon sa ACL sa publikong dominyo sa website . Ang bisan unsang mga pangutana nga motumaw o magpabilin kanunay nga ipangutana sa among mga kawani sa opisina - .
Source: www.habr.com