ACLs (Lis Kontwòl Aksè) sou aparèy rezo yo ka aplike tou de nan pyès ki nan konpitè ak lojisyèl, oswa pi souvan pale, pyès ki nan konpitè ak lojisyèl ki baze sou ACL. Men, si tout bagay ta dwe klè ak ACL ki baze sou lojisyèl - sa yo se règ ki estoke ak trete nan RAM (sètadi sou Avyon Kontwòl), ak tout restriksyon ki vini yo, Lè sa a, nou pral konprann ki jan ACL ki baze sou pyès ki nan konpitè yo aplike ak travay nou an. atik. Kòm yon egzanp, nou pral sèvi ak switch ki soti nan seri a ExtremeSwitching soti nan Extreme Networks.
Depi nou enterese nan ACL ki baze sou pyès ki nan konpitè, aplikasyon entèn nan Plan Done a, oswa chipsets aktyèl yo (ASICs) yo itilize, se nan esansyèl enpòtans pou nou. Tout liy switch Extreme Networks yo bati sou Broadcom ASICs, ak Se poutèt sa, pi fò nan enfòmasyon ki anba a pral vre tou pou lòt switch sou mache a ki aplike sou menm ASIC yo.
Kòm ou ka wè nan figi ki anwo a, "ContentAware Engine" responsab dirèkteman pou operasyon ACL nan chipset la, separeman pou "antre" ak "soti". Achitekti, yo se menm bagay la, sèlman "egress" se mwens évolutive ak mwens fonksyonèl. Fizikman, tou de "ContentAware Engines" yo se memwa TCAM plis lojik ki akonpaye, ak chak itilizatè oswa sistèm ACL règ se yon senp ti-mask ekri nan memwa sa a. Se poutèt sa chipset la trete pake trafik pa pake epi san degradasyon pèfòmans.
Fizikman, menm Ingress/Egress TCAM, nan vire, divize lojikman an plizyè segman (ki depann sou kantite memwa tèt li ak platfòm la), sa yo rele "tranch ACL". Pou egzanp, menm bagay la rive ak fizikman menm HDD a sou laptop ou lè ou kreye plizyè kondui lojik sou li - C:>, D:>. Chak tranch ACL, nan vire, konsiste de selil memwa nan fòm lan nan "fisèl" kote "règleman" (règleman / ti mask) yo ekri.
Divizyon TCAM an ACL-tranch gen yon lojik sèten dèyè li. Nan chak nan ACL-tranch endividyèl yo, se sèlman "règleman" ki konpatib youn ak lòt ka ekri. Si nenpòt nan "règleman yo" pa konpatib ak youn anvan an, Lè sa a, li pral ekri nan pwochen ACL-tranch la, kèlkeswa konbyen liy gratis pou "règleman" yo rete nan yon sèl anvan an.
Ki kote Lè sa a, konpatibilite oswa enkonpatibilite règ ACL soti? Reyalite a se ke yon sèl TCAM "liy", kote "règleman" ekri, gen yon longè 232 bit epi li divize an plizyè jaden - Fiks, Field1, Field2, Field3. 232 bit oswa 29 byte TCAM memwa se ase yo anrejistre bit-mask la nan yon MAC oswa adrès IP espesifik, men anpil mwens pase tèt la plen Ethernet pake. Nan chak tranch ACL endividyèl, ASIC la fè yon rechèch endepandan dapre bit-mask mete nan F1-F3. An jeneral, rechèch sa a ka fèt lè l sèvi avèk premye 128 octets nan header Ethernet la. Aktyèlman, jisteman paske rechèch la ka fèt sou 128 bytes, men sèlman 29 bytes ka ekri, pou yon rechèch kòrèk yon konpanse dwe mete parapò ak kòmansman an nan pake a. Yo tabli konpanse pou chak tranch ACL lè premye règ la ekri sou li, epi si, lè w ap ekri yon règ ki vin apre yo, yo dekouvri bezwen pou yon lòt konpanse, lè sa a yo konsidere yon règ konsa enkonpatib ak premye a epi li ekri sou li. pwochen ACL-tranch.
Tablo ki anba a montre lòd konpatibilite kondisyon ki espesifye nan ACL la. Chak liy endividyèl gen pwodwi bit-mask ki konpatib youn ak lòt epi ki enkonpatib ak lòt liy.
Chak pake endividyèl trete pa ASIC la kouri yon rechèch paralèl nan chak tranch ACL. Tèks la fèt jiskaske premye match nan ACL-tranch la, men plizyè alimèt yo gen dwa pou menm pake a nan diferan ACL-tranch. Chak "règ" endividyèl gen yon aksyon korespondan ki dwe fèt si kondisyon an (bit-mask) matche. Si yon match fèt nan plizyè ACL-tranch alafwa, Lè sa a, nan blòk "Aksyon Konfli Rezolisyon an", ki baze sou priyorite nan ACL-tranch la, yo pran yon desizyon ki aksyon yo fè. Si ACL a genyen tou de "aksyon" (pèmisyon/refize) ak "aksyon-modifier" (kont/QoS/log/...), Lè sa a, nan ka ta gen plizyè alimèt sèlman pi gwo priyorite "aksyon" pral egzekite, pandan y ap "aksyon". -modifier" yo pral tout fini. Egzanp ki anba a montre tou de kontè yo pral ogmante epi yo pral egzekite pi gwo priyorite "refize".
ak plis enfòmasyon detaye sou operasyon an nan ACL nan domèn piblik la sou sit entènèt la . Nenpòt kesyon ki parèt oswa ki rete yo ka toujou poze anplwaye biwo nou an - .
Sous: www.habr.com