ACL (Access Control List) tīkla ierīcēs var ieviest gan aparatūrā, gan programmatūrā vai, vēl biežāk, uz aparatūru un programmatūru balstītos ACL. Un, ja viss ir skaidrs ar programmatūras ACL — tie ir noteikumi, kas tiek glabāti un apstrādāti RAM (t.i., vadības plaknē), ar visiem no tā izrietošajiem ierobežojumiem, tad mēs sapratīsim, kā tiek ieviesti uz aparatūru balstīti ACL, un darbosies atbilstoši mūsu prasībām. rakstu. Kā piemēru mēs izmantosim Extreme Networks ExtremeSwitching sērijas slēdžus.
Tā kā mūs interesē uz aparatūru balstīti ACL, datu plaknes iekšējā ieviešana vai faktiski izmantotās mikroshēmojumi (ASIC) mums ir ārkārtīgi svarīgas. Visas Extreme Networks slēdžu līnijas ir veidotas uz Broadcom ASIC, un tāpēc lielākā daļa tālāk sniegtās informācijas attieksies arī uz citiem slēdžiem tirgū, kas ir ieviesti tajos pašos ASIC.
Kā redzams iepriekš redzamajā attēlā, “ContentAware Engine” ir tieši atbildīgs par ACL darbību mikroshēmojumā, atsevišķi par “ieeju” un “izeju”. Arhitektoniski tie ir vienādi, tikai “izeja” ir mazāk mērogojama un mazāk funkcionāla. Fiziski abi “ContentAware dzinēji” ir TCAM atmiņa un ar to saistītā loģika, un katrs lietotājs vai sistēmas ACL noteikums ir vienkārša bitu maska, kas ierakstīta šajā atmiņā. Tāpēc mikroshēmojums apstrādā trafiku pa paketēm un bez veiktspējas pasliktināšanās.
Fiziski viens un tas pats Ingress/Egress TCAM savukārt ir loģiski sadalīts vairākos segmentos (atkarībā no pašas atmiņas apjoma un platformas), tā sauktajos “ACL slices”. Piemēram, tas pats notiek ar fiziski vienu un to pašu cieto disku jūsu klēpjdatorā, kad tajā izveidojat vairākus loģiskos diskus - C:>, D:>. Katrs ACL slēls savukārt sastāv no atmiņas šūnām “stīgu” formā, kur ir ierakstīti “noteikumi” (noteikumi/bitu maskas).
TCAM sadalīšanai ACL šķēlēs ir noteikta loģika. Katrā atsevišķā ACL sadaļā var ierakstīt tikai “kārtulas”, kas ir saderīgas savā starpā. Ja kāds no “noteikumiem” nav savietojams ar iepriekšējo, tas tiks ierakstīts nākamajā ACL slānī neatkarīgi no tā, cik brīvas rindas “noteikumiem” ir atlikušas iepriekšējā.
No kurienes tad šī ACL noteikumu saderība vai nesaderība? Fakts ir tāds, ka vienas TCAM “rindiņas”, kurā ir rakstīti “noteikumi”, garums ir 232 biti, un tā ir sadalīta vairākos laukos - Fixed, Field1, Field2, Field3. 232 bitu vai 29 baitu TCAM atmiņa ir pietiekama, lai ierakstītu konkrētas MAC vai IP adreses bitu masku, bet daudz mazāk nekā pilna Ethernet paketes galveni. Katrā atsevišķā ACL slānī ASIC veic neatkarīgu meklēšanu saskaņā ar bitu masku, kas iestatīta F1-F3. Parasti šo meklēšanu var veikt, izmantojot Ethernet galvenes pirmos 128 baitus. Faktiski tieši tāpēc, ka meklēšanu var veikt virs 128 baitiem, bet var ierakstīt tikai 29 baitus, pareizai meklēšanai ir jāiestata nobīde attiecībā pret paketes sākumu. Nobīde katrai ACL sadaļai tiek iestatīta, kad tajā tiek rakstīts pirmais noteikums, un, ja, rakstot nākamo kārtulu, tiek atklāta nepieciešamība pēc citas nobīdes, tad šāds noteikums tiek uzskatīts par nesaderīgu ar pirmo un tiek ierakstīts nākamā ACL sadaļa.
Tālāk esošajā tabulā ir parādīta ACL norādīto nosacījumu saderības secība. Katrā atsevišķā rindā ir ģenerētas bitu maskas, kas ir saderīgas viena ar otru un nav saderīgas ar citām līnijām.
Katra atsevišķa ASIC apstrādātā pakete veic paralēlu meklēšanu katrā ACL slānī. Pārbaude tiek veikta līdz pirmajai sakritībai ACL slānī, bet vienai un tai pašai paketei ir atļautas vairākas atbilstības dažādās ACL šķēlēs. Katram atsevišķam “noteikumam” ir atbilstoša darbība, kas jāveic, ja nosacījums (bitmaska) ir saskaņots. Ja sakritība notiek vairākos ACL slāņos vienlaikus, tad blokā “Darbības konfliktu risināšana”, pamatojoties uz ACL slāņa prioritāti, tiek pieņemts lēmums, kuru darbību veikt. Ja ACL satur gan “darbību” (atļaut/liegt), gan “darbības pārveidotāju” (count/QoS/log/…), tad vairāku sakritību gadījumā tiks izpildīta tikai augstākas prioritātes “darbība”, savukārt “darbība”. -modifikators” tiks pabeigts. Zemāk redzamais piemērs parāda, ka abi skaitītāji tiks palielināti un tiks izpildīts augstākas prioritātes “liegums”.
ar detalizētāku informāciju par ACL darbību publiskajā domēnā vietnē . Jebkurus jautājumus, kas rodas vai paliek, vienmēr varat uzdot mūsu biroja darbiniekiem - .
Avots: www.habr.com