ACLs (Access Control List) op Netzwierkapparater kënne souwuel an Hardware a Software implementéiert ginn, oder méi allgemeng geschwat, Hardware a Software-baséiert ACLs. A wann alles kloer soll sinn mat Software-baséiert ACLs - dat sinn Reegelen déi am RAM gespäichert a veraarbecht ginn (dh am Kontrollplane), mat all de folgende Restriktiounen, da wäerte mir verstoen wéi Hardware-baséiert ACLs ëmgesat ginn a funktionnéieren eis Artikel. Als Beispill benotze mir Schalter vun der ExtremeSwitching Serie vun Extreme Networks.
Well mir un Hardware-baséiert ACLs interesséiert sinn, ass d'intern Ëmsetzung vum Data Plane, oder déi aktuell Chipsets (ASICs) déi benotzt ginn, fir eis wichteg. All Extreme Networks Schaltlinnen sinn op Broadcom ASICs gebaut, an dofir sinn déi meescht Informatioun hei ënnen och wouer fir aner Schalter um Maart, déi op déiselwecht ASICs ëmgesat ginn.
Wéi kann aus der Figur uewen gesi ginn, ass de "ContentAware Engine" direkt verantwortlech fir d'Operatioun vun ACLs am Chipsatz, separat fir "Ingress" an "Egress". Architektonesch si se d'selwecht, nëmmen "Egress" ass manner skalierbar a manner funktionell. Kierperlech, souwuel "ContentAware Engines" sinn TCAM Erënnerung plus begleet Logik, an all Benotzer oder System ACL Regel ass eng einfach Bit-Mask op dës Erënnerung geschriwwe. Dofir veraarbecht de Chipsatz Traffic Paket fir Paket an ouni Leeschtungsverschlechterung.
Kierperlech ass déiselwecht Ingress / Egress TCAM, am Tour, logesch a verschidde Segmenter opgedeelt (je no der Quantitéit vun der Erënnerung selwer an der Plattform), déi sougenannte "ACL Slices". Zum Beispill geschitt datselwecht mat der physescher selwechter HDD op Ärem Laptop wann Dir e puer logesch Fuerderen erstellt - C:>, D:>. All ACL-Slice, am Tour, besteet aus Erënnerung Zellen a Form vun "Strings" wou "Regelen" (Reegelen / Bit Masken) geschriwwe sinn.
D'Opdeelung vun TCAM an ACL-Scheiwen huet eng gewësse Logik hannert sech. An all eenzel vun den eenzelne ACL-Scheiwen kënnen nëmmen "Regelen" geschriwwe ginn, déi matenee kompatibel sinn. Wann ee vun de "Regelen" net kompatibel ass mat der viregter, da gëtt et op déi nächst ACL-Slice geschriwwe ginn, egal wéi vill gratis Linnen fir "Regelen" an der viregter lénks sinn.
Wou kënnt dann dës Kompatibilitéit oder Inkompatibilitéit vun ACL Regelen hier? D'Tatsaach ass datt eng TCAM "Linn", wou "Regele" geschriwwe gëtt, eng Längt vun 232 Bits huet an a verschidde Felder opgedeelt ass - Fixed, Field1, Field2, Field3. 232 Bit oder 29 Byte TCAM Gedächtnis ass genuch fir d'Bit-Mask vun enger spezifescher MAC oder IP Adress opzehuelen, awer vill manner wéi de komplette Ethernet Packet Header. An all eenzelne ACL-Slice mécht den ASIC en onofhängege Lookup no der Bit-Mask op F1-F3. Am Allgemengen kann dëse Lookup mat den éischten 128 Bytes vum Ethernet Header duerchgefouert ginn. Eigentlech, genee well d'Sich kann iwwer 128 Bytes duerchgefouert ginn, awer nëmmen 29 Bytes kënne geschriwwe ginn, fir eng korrekt Lookup muss en Offset relativ zum Ufank vum Paket gesat ginn. Den Offset fir all ACL-Slice gëtt festgeluegt wann déi éischt Regel drop geschriwwe gëtt, a wann, wann Dir eng spéider Regel schreift, de Besoin fir eng aner Offset entdeckt gëtt, da gëtt esou eng Regel als inkompatibel mat der éischter ugesinn a gëtt an d'Schreiwe vun der Reegel geschriwwen. nächst ACL-Slice.
D'Tabell hei ënnen weist d'Uerdnung vun der Kompatibilitéit vun de Konditiounen, déi am ACL spezifizéiert sinn. All eenzel Linn enthält generéiert Bit-Masken déi mateneen kompatibel sinn an inkompatibel mat anere Linnen.
All eenzel Paket, deen vum ASIC veraarbecht gëtt, fiert e parallele Lookup an all ACL-Slice. D'Kontroll gëtt bis den éischte Match am ACL-Slice gemaach, awer verschidde Matcher si fir dee selwechte Paket a verschiddene ACL-Slice erlaabt. All eenzel "Regel" huet eng entspriechend Handlung déi muss gemaach ginn wann d'Konditioun (Bit-Mask) entsprécht. Wann e Match an e puer ACL-Slice gläichzäiteg geschitt, da gëtt am Block "Action Conflict Resolution", baséiert op der Prioritéit vun der ACL-Slice, eng Entscheedung getraff wéi eng Aktioun ze maachen. Wann den ACL souwuel "Aktioun" (Erlaabnes / Verleegnen) an "Aktiounsmodifikateur" (Zuel / QoS / Log / ...) enthält, da gëtt am Fall vu multiple Matcher nëmmen déi méi héich Prioritéit "Aktioun" ausgefouert, wärend "Aktioun" -modifier" wäert alles fäerdeg sinn. D'Beispill hei drënner weist datt béid Zähler erhéicht ginn an déi méi héich Prioritéit "verleegnen" gëtt ausgefouert.
mat méi detailléiert Informatiounen iwwert d'Operatioun vun ACL am Domaine public op der Websäit . All Froen déi optrieden oder bleiwen, kënnen ëmmer un eise Büropersonal gestallt ginn - .
Source: will.com