ACL (Daftar Kontrol Akses) ing piranti jaringan bisa dileksanakake ing hardware lan piranti lunak, utawa luwih umum, ACL adhedhasar hardware lan piranti lunak. Lan yen kabeh kudu cetha karo ACLs basis lunak - iki aturan sing disimpen lan diproses ing RAM (i.e. ing Control Plane), karo kabeh Watesan sabanjuré, banjur kita bakal ngerti carane ACLs basis hardware dileksanakake lan karya kita. artikel. Minangka conto, kita bakal nggunakake switch saka seri ExtremeSwitching saka Extreme Networks.
Awit kita kasengsem ing ACL basis hardware, implementasine internal Data Plane, utawa chipsets nyata (ASICs) digunakake, iku penting banget kanggo kita. Kabeh garis ngalih Extreme Networks dibangun ing Broadcom ASICs, lan mulane paling informasi ing ngisor iki uga bener kanggo ngalih liyane ing pasar sing dipun ginakaken ing ASICs padha.
Minangka bisa katon saka tokoh ndhuwur, "ContentAware Engine" tanggung jawab langsung kanggo operasi ACLs ing chipset, kanthi kapisah kanggo "ingress" lan "egress". Arsitektur, padha, mung "egress" kurang keukur lan kurang fungsi. Fisik, loro "ContentAware Engines" iku memori TCAM plus logika gawan, lan saben pangguna utawa sistem aturan ACL punika bit-topeng prasaja ditulis ing memori iki. Mulane chipset ngolah paket lalu lintas kanthi paket lan tanpa degradasi kinerja.
Fisik, Ingress padha / Egress TCAM, ing siji, dipérang logis menyang sawetara perangan (gumantung saka jumlah memori dhewe lan platform), kang disebut "irisan-irisan ACL". Contone, kedadeyan sing padha karo HDD sing padha ing laptop nalika nggawe sawetara drive logis - C:>, D:>. Saben ACL-irisan, ing siji, kasusun saka sel memori ing wangun "strings" ngendi "aturan" (aturan / topeng dicokot) ditulis.
Divisi saka TCAM menyang ACL-irisan wis logika tartamtu konco. Ing saben individu ACL-irisan, mung "aturan" sing kompatibel karo saben liyane bisa ditulis. Yen salah siji saka "aturan" ora kompatibel karo sadurungé, iku bakal ditulis kanggo ACL-irisan sabanjuré, preduli saka carane akeh free garis kanggo "aturan" kiwa ing sadurungé.
Endi banjur kompatibilitas utawa incompatibility saka aturan ACL teka saka? Kasunyatane yaiku siji "garis" TCAM, ing ngendi "aturan" ditulis, dawane 232 bit lan dipérang dadi sawetara lapangan - Fixed, Field1, Field2, Field3. 232 dicokot utawa 29 bait memori TCAM cukup kanggo ngrekam bit-topeng saka MAC tartamtu utawa alamat IP, nanging luwih kurang saka header paket Ethernet lengkap. Ing saben individu ACL-irisan, ASIC nindakake goleki independen miturut bit-topeng disetel ing F1-F3. Umumé, panelusuran iki bisa dileksanakake nggunakake 128 byte pisanan header Ethernet. Bener, amarga telusuran bisa ditindakake luwih saka 128 bait, nanging mung 29 bita sing bisa ditulis, kanggo nggoleki sing bener, offset kudu disetel relatif marang wiwitan paket. Offset kanggo saben ACL-irisan disetel nalika aturan pisanan ditulis kanggo, lan yen, nalika nulis aturan sakteruse, perlu kanggo offset liyane ditemokaké, banjur aturan kuwi dianggep ora cocog karo pisanan lan ditulis kanggo sabanjuré ACL-irisan.
Tabel ing ngisor iki nuduhake urutan kompatibilitas kondisi kasebut ing ACL. Saben baris individu ngemot bit-topeng kui sing kompatibel karo saben liyane lan ora kompatibel karo garis liyane.
Saben paket individu diproses dening ASIC mlaku goleki podo ing saben ACL-irisan. Priksa wis dileksanakake nganti pertandhingan pisanan ing ACL-irisan, nanging sawetara cocog diijini kanggo paket padha ing ACL-irisan beda. Saben "aturan" individu duwe tumindak sing cocog sing kudu ditindakake yen kondisi kasebut (bit-mask) cocog. Yen pertandhingan dumadi ing sawetara ACL-irisan bebarengan, banjur ing "Aksi Resolusi Konflik" pemblokiran, adhedhasar prioritas saka ACL-irisan, njupuk kaputusan kang tumindak. Yen ACL ngemot loro "tumindak" (ijin / nolak) lan "tindakan-modifier" (count / QoS / log / ...), banjur ing cilik saka sawetara cocog mung-prioritas sing luwih "tumindak" bakal kaleksanan, nalika "tumindak" -modifier" kabeh bakal rampung. Conto ing ngisor iki nuduhake yen loro counter bakal ditambah lan prioritas sing luwih dhuwur "nolak" bakal dieksekusi.
kanthi informasi sing luwih rinci babagan operasi ACL ing domain umum ing situs web . Sembarang pitakonan sing muncul utawa tetep bisa ditakoni menyang staf kantor - .
Source: www.habr.com