ACL ها (فهرست کنترل دسترسی) در دستگاه های شبکه را می توان هم در سخت افزار و هم در نرم افزار، یا به عبارت معمول تر، ACL های مبتنی بر سخت افزار و نرم افزار پیاده سازی کرد. و اگر همه چیز باید با ACL های مبتنی بر نرم افزار روشن باشد - اینها قوانینی هستند که در RAM (به عنوان مثال در صفحه کنترل) با تمام محدودیت های بعدی ذخیره و پردازش می شوند، آنگاه خواهیم فهمید که ACL های مبتنی بر سخت افزار چگونه پیاده سازی می شوند و کار خود را انجام می دهند. مقاله. به عنوان مثال، ما از سوئیچ های سری ExtremeSwitching از Extreme Networks استفاده خواهیم کرد.
از آنجایی که ما به ACL های مبتنی بر سخت افزار علاقه مند هستیم، پیاده سازی داخلی Data Plane یا چیپست های واقعی (ASIC) مورد استفاده برای ما از اهمیت بالایی برخوردار است. تمام خطوط سوئیچ Extreme Networks بر روی ASIC های Broadcom ساخته شده اند و بنابراین بیشتر اطلاعات زیر برای سایر سوئیچ های موجود در بازار که روی همان ASIC ها پیاده سازی می شوند نیز صادق است.
همانطور که در شکل بالا مشاهده می شود، "ContentAware Engine" به طور جداگانه برای "ورود" و "خروج" مسئول مستقیم عملکرد ACL ها در چیپست است. از نظر معماری، آنها یکسان هستند، فقط "خروج" کمتر مقیاس پذیر و کمتر کاربردی است. از نظر فیزیکی، هر دو "ContentAware Engines" حافظه TCAM به علاوه منطق همراه هستند و هر قانون ACL کاربر یا سیستم یک ماسک بیت ساده است که روی این حافظه نوشته شده است. به همین دلیل است که چیپست ترافیک را بسته به بسته و بدون کاهش عملکرد پردازش می کند.
از نظر فیزیکی، همان TCAM ورودی/خروجی، به نوبه خود، از نظر منطقی به چندین بخش (بسته به میزان حافظه و پلتفرم) تقسیم میشود که اصطلاحاً «برشهای ACL» نامیده میشوند. به عنوان مثال، هنگامی که چندین درایو منطقی روی لپتاپ شما ایجاد میکنید، از نظر فیزیکی همان HDD روی لپتاپ شما اتفاق میافتد - C:>، D:>. هر قطعه ACL به نوبه خود از سلول های حافظه به شکل "رشته" تشکیل شده است که در آن "قوانین" (قوانین / ماسک بیت) نوشته شده است.
تقسیم TCAM به ACL-slices منطق خاصی پشت آن است. در هر یک از برش های ACL منفرد، فقط "قوانین" که با یکدیگر سازگار هستند را می توان نوشت. اگر هر یک از "قوانین" با "قوانین" قبلی سازگار نباشد، بدون توجه به اینکه چند خط رایگان برای "قوانین" در قبلی باقی مانده است، در بخش ACL بعدی نوشته می شود.
پس این سازگاری یا ناسازگاری قوانین ACL از کجا می آید؟ واقعیت این است که یک "خط" TCAM، که در آن "قوانین" نوشته شده است، 232 بیت طول دارد و به چندین فیلد تقسیم می شود - Fixed، Field1، Field2، Field3. حافظه TCAM 232 بیتی یا 29 بایتی برای ضبط بیت ماسک یک آدرس MAC یا IP خاص کافی است، اما بسیار کمتر از هدر کامل بسته اترنت. در هر قطعه ACL منفرد، ASIC یک جستجوی مستقل را مطابق با بیت ماسک تنظیم شده در F1-F3 انجام می دهد. به طور کلی، این جستجو را می توان با استفاده از 128 بایت اول هدر اترنت انجام داد. در واقع، دقیقاً به این دلیل که جستجو را می توان بیش از 128 بایت انجام داد، اما فقط 29 بایت را می توان نوشت، برای جستجوی صحیح باید یک افست نسبت به ابتدای بسته تنظیم شود. افست برای هر برش ACL زمانی تنظیم می شود که اولین قانون روی آن نوشته شود، و اگر هنگام نوشتن یک قانون بعدی، نیاز به آفست دیگری کشف شود، چنین قاعده ای با قانون اول ناسازگار در نظر گرفته می شود و در قانون نوشته می شود. برش ACL بعدی.
جدول زیر ترتیب سازگاری شرایط مشخص شده در ACL را نشان می دهد. هر خط جداگانه حاوی ماسک های بیت تولید شده است که با یکدیگر سازگار و با خطوط دیگر ناسازگار هستند.
هر بسته جداگانه پردازش شده توسط ASIC یک جستجوی موازی را در هر ACL-slice اجرا می کند. بررسی تا اولین تطابق در برش ACL انجام میشود، اما چندین تطابق برای یک بسته در برشهای ACL مختلف مجاز است. هر "قاعده" منفرد دارای یک عمل متناظر است که در صورت مطابقت با شرط (بیت ماسک) باید انجام شود. اگر یک تطابق در چندین برش ACL به طور همزمان رخ دهد، سپس در بلوک "Action Conflict Resolution"، بر اساس اولویت ACL-slice، تصمیم گیری می شود که کدام عمل انجام شود. اگر ACL دارای هر دو «عمل» (مجوز/رد) و «عمل اصلاحکننده» (شمارش/QoS/log/…) باشد، در صورت تطبیقهای متعدد، تنها «عمل» با اولویت بالاتر اجرا میشود، در حالی که «عمل» -modifier" همه تکمیل خواهد شد. مثال زیر نشان میدهد که هر دو شمارنده افزایش مییابند و اولویت بالاتر «انکار» اجرا میشود.
با اطلاعات دقیق تر در مورد عملکرد ACL در حوزه عمومی در وب سایت . هر سوالی که پیش بیاید یا باقی بماند را می توان همیشه از کارکنان دفتر ما پرسید - .
منبع: www.habr.com