Sareko gailuetako ACLak (Access Control List) hardwarean eta softwarean inplementa daitezke, edo, normalean, hardwarean eta softwarean oinarritutako ACLetan. Eta softwarean oinarritutako ACLekin dena argi egon behar bada - RAM-n (hau da, Kontrol-planoan) gordetzen eta prozesatzen diren arauak dira, ondoriozko murrizketa guztiekin, orduan ulertuko dugu hardwarean oinarritutako ACL-ak nola inplementatzen diren eta nola funtzionatzen duten. Artikulu. Adibide gisa, Extreme Networks-eko ExtremeSwitching serieko etengailuak erabiliko ditugu.
Hardwarean oinarritutako ACLak interesatzen zaizkigunez, Data Planearen barne inplementazioak edo erabilitako benetako chipsetak (ASIC) berebiziko garrantzia du guretzat. Extreme Networks etengailu-lerro guztiak Broadcom ASICetan eraikita daude, eta, beraz, beheko informazio gehiena ASIC berdinetan inplementatutako merkatuko beste etengailu batzuentzat ere egia izango da.
Goiko irudian ikus daitekeenez, "ContentAware Engine"-k zuzeneko arduraduna da chipset-eko ACLen funtzionamenduaz, "sarrera" eta "irteera" bereizita. Arkitektura aldetik, berdinak dira, "irteera" baino ez da eskalagarriagoa eta funtzional gutxiago. Fisikoki, "ContentAware Engines" biak TCAM memoria eta horrekin batera doan logika dira, eta erabiltzaile edo sistemaren ACL arau bakoitza memoria honetan idatzitako bit-maskara soil bat da. Horregatik, chipset-ek trafikoa paketez pakete prozesatzen du eta errendimendua hondatu gabe.
Fisikoki, Ingress/Egress TCAM bera, aldi berean, logikoki hainbat segmentutan banatzen da (memoria kantitatearen beraren eta plataformaren arabera), "ACL slices" izenekoak. Adibidez, gauza bera gertatzen da fisikoki zure ordenagailu eramangarriko HDD berarekin hainbat unitate logiko sortzen dituzunean - C:>, D:>. ACL-xerra bakoitza, berriz, memoria-zelulez osatuta dago "kate" moduan, non "arauak" (arauak/bit maskarak) idazten diren.
TCAM-a ACL-xerratan banatzeak logika jakin bat du atzean. ACL-xerra banako bakoitzean, elkarren artean bateragarriak diren "arauak" soilik idatz daitezke. "Arau"ren bat aurrekoarekin bateragarria ez bada, hurrengo ACL zatian idatziko da, aurrekoan "arau"rako zenbat lerro libre geratzen diren kontuan hartu gabe.
Nondik dator orduan ACL arauen bateragarritasun edo bateraezintasun hori? Kontua da TCAM "lerro" bat, non "arauak" idazten den, 232 biteko luzera duela eta hainbat eremutan banatuta dagoela - Finkoa, Field1, Field2, Field3. 232 biteko edo 29 byteko TCAM memoria nahikoa da MAC edo IP helbide zehatz baten bit-maskara grabatzeko, baina Ethernet paketeen goiburu osoa baino askoz gutxiago. ACL-xerra bakoitzean, ASIC-ek bilaketa independente bat egiten du F1-F3-n ezarritako bit-maskararen arabera. Oro har, bilaketa hau Ethernet goiburuko lehen 128 byteak erabiliz egin daiteke. Egia esan, hain zuzen, bilaketa 128 byte baino gehiago egin daitekeelako, baina 29 byte baino ez idatz daitezkeelako, bilaketa zuzena izateko desplazamendu bat ezarri behar da paketearen hasierari dagokionez. ACL-xerra bakoitzaren desplazamendua lehen araua idazten denean ezartzen da, eta, ondorengo arau bat idaztean, beste desplazamendu baten beharra aurkitzen bada, orduan arau hori lehenengoarekin bateraezina da eta idazten da. hurrengo ACL-xerra.
Beheko taulak ACLn zehaztutako baldintzen bateragarritasun-ordena erakusten du. Banakako lerro bakoitzak sortutako bit-maskarak ditu, elkarren artean bateragarriak eta beste lerro batzuekin bateraezinak.
ASIC-ek prozesatutako pakete bakoitzak bilaketa paralelo bat egiten du ACL-xerta bakoitzean. Egiaztapena ACL-sliceko lehen bat etortzera arte egiten da, baina hainbat bat-etortze onartzen dira pakete berdinarentzat ACL-slice desberdinetan. Banakako "arau" bakoitzak dagokion ekintza bat du, baldintza (bit-maskara) bat datorrenean egin behar dena. Bat-etortze bat hainbat ACL-slicetan gertatzen bada aldi berean, "Action Conflict Resolution" blokean, ACL-slicearen lehentasunaren arabera, erabakitzen da zein ekintza egin. ACL-ak "ekintza" (baimen/ukatu) eta "ekintza-aldatzailea" (zenbaketa/QoS/erregistroa/...) baditu, bat-etortze anitzak izanez gero, lehentasun handiagoko "ekintza" baino ez da gauzatuko, eta "ekintza" bitartean. -modifierβ dena osatuko da. Beheko adibideak erakusten du bi kontagailuak handitu egingo direla eta lehentasun handiagoko "ukatu" exekutatu egingo dela.
ACLren funtzionamenduari buruzko informazio zehatzagoarekin domeinu publikoan webgunean . Sortzen edo geratzen den edozein galdera beti egin diezaieke gure bulegoko langileei - .
Iturria: www.habr.com