ACL 전환 세부정보

네트워크 장치의 ACL(액세스 제어 목록)은 하드웨어와 소프트웨어 모두에서 구현될 수 있으며, 더 일반적으로는 하드웨어 및 소프트웨어 기반 ACL로 구현될 수 있습니다. 그리고 소프트웨어 기반 ACL로 모든 것이 명확해야 한다면, 이는 RAM(즉, 컨트롤 플레인)에 저장되고 처리되는 규칙이며 그에 따른 모든 제한 사항이 있으므로 하드웨어 기반 ACL이 어떻게 구현되고 작동하는지 이해하겠습니다. 기사. 예를 들어 Extreme Networks의 ExtremeSwitching 시리즈 스위치를 사용하겠습니다.

우리는 하드웨어 기반 ACL에 관심이 있기 때문에 데이터 플레인의 내부 구현 또는 사용되는 실제 칩셋(ASIC)이 우리에게 가장 중요합니다. 모든 Extreme Networks 스위치 라인은 Broadcom ASIC을 기반으로 구축되었으므로 아래 정보의 대부분은 동일한 ASIC에 구현된 시중의 다른 스위치에도 적용됩니다.

위 그림에서 볼 수 있듯이 "ContentAware Engine"은 "ingress" 및 "egress"와 별도로 칩셋의 ACL 작동을 직접 담당합니다. 구조적으로는 동일하지만 "송신"만 확장성이 떨어지고 기능이 떨어집니다. 물리적으로 두 "ContentAware 엔진"은 모두 TCAM 메모리와 그에 따른 논리이며 각 사용자 또는 시스템 ACL 규칙은 이 메모리에 기록되는 간단한 비트 마스크입니다. 이것이 바로 칩셋이 성능 저하 없이 트래픽 패킷을 패킷별로 처리하는 이유입니다.

물리적으로 동일한 Ingress/Egress TCAM은 논리적으로 소위 "ACL 슬라이스"라고 하는 여러 세그먼트(메모리 자체 및 플랫폼의 양에 따라 다름)로 나뉩니다. 예를 들어, 노트북에 물리적으로 동일한 HDD(C:>, D:>)를 여러 개 생성하면 동일한 현상이 발생합니다. 각 ACL 슬라이스는 "규칙"(규칙/비트 마스크)이 기록되는 "문자열" 형태의 메모리 셀로 구성됩니다.

TCAM을 ACL 슬라이스로 나누는 데에는 특정한 논리가 있습니다. 각 개별 ACL 슬라이스에는 서로 호환되는 "규칙"만 작성할 수 있습니다. "규칙" 중 하나라도 이전 규칙과 호환되지 않는 경우 이전 규칙에 남아 있는 "규칙"에 대한 사용 가능한 라인 수에 관계없이 다음 ACL 슬라이스에 기록됩니다.

그렇다면 ACL 규칙의 호환성 또는 비호환성은 어디에서 비롯됩니까? 사실 "규칙"이 기록되는 하나의 TCAM "라인"은 길이가 232비트이고 고정, 필드1, 필드2, 필드3 등 여러 필드로 나뉩니다. 232비트 또는 29바이트 TCAM 메모리는 특정 MAC 또는 IP 주소의 비트 마스크를 기록하는 데 충분하지만 전체 이더넷 패킷 헤더보다는 훨씬 적습니다. 각 개별 ACL 슬라이스에서 ASIC은 F1-F3에 설정된 비트 마스크에 따라 독립적인 조회를 수행합니다. 일반적으로 이 조회는 이더넷 헤더의 처음 128바이트를 사용하여 수행할 수 있습니다. 실제로 검색은 128바이트 이상에서 수행될 수 있지만 29바이트만 쓸 수 있기 때문에 올바른 검색을 위해서는 패킷 시작 부분을 기준으로 오프셋을 설정해야 합니다. 각 ACL 슬라이스의 오프셋은 첫 번째 규칙이 기록될 때 설정되며, 후속 규칙을 작성할 때 다른 오프셋이 필요하다는 것이 발견되면 해당 규칙은 첫 번째 규칙과 호환되지 않는 것으로 간주되어 다음 ACL 슬라이스.

아래 표에는 ACL에 지정된 조건의 호환성 순서가 나와 있습니다. 각 개별 라인에는 서로 호환되지만 다른 라인과는 호환되지 않는 생성된 비트 마스크가 포함되어 있습니다.

ASIC에 의해 처리된 각 개별 패킷은 각 ACL 슬라이스에서 병렬 조회를 실행합니다. ACL 슬라이스에서 첫 번째 일치가 나올 때까지 검사가 수행되지만, 서로 다른 ACL 슬라이스에서는 동일한 패킷에 대해 여러 일치가 허용됩니다. 각 개별 "규칙"에는 조건(비트 마스크)이 일치하는 경우 수행해야 하는 해당 작업이 있습니다. 한 번에 여러 ACL 슬라이스에서 일치가 발생하면 ACL 슬라이스의 우선순위에 따라 "작업 충돌 해결" 블록에서 어떤 작업을 수행할지 결정됩니다. ACL에 "action"(허용/거부)과 "action-modifier"(count/QoS/log/...)가 모두 포함된 경우 일치하는 항목이 여러 개인 경우 우선 순위가 더 높은 "action"만 실행되고 "action"은 실행됩니다. -modifier”가 모두 완료됩니다. 아래 예에서는 두 카운터가 모두 증가하고 우선 순위가 더 높은 "거부"가 실행되는 것을 보여줍니다.

“ACL 솔루션 가이드” 공개 도메인의 ACL 운영에 대한 자세한 정보는 웹사이트에서 확인하세요. 익스트림네트웍스.com. 발생하거나 남아 있는 질문은 언제든지 저희 사무실 직원에게 문의하실 수 있습니다. [이메일 보호].

출처 : habr.com