Сүлжээний төхөөрөмжүүд дээрх ACL (Access Control List) нь техник хангамж, програм хангамж, эсвэл ерөнхийдөө техник хангамж, програм хангамжид суурилсан ACL-д хэрэгжиж болно. Хэрэв програм хангамжид суурилсан ACL-ийн хувьд бүх зүйл тодорхой байх ёстой бол эдгээр нь RAM-д (жишээ нь Удирдлагын хавтгай дээр) хадгалагдаж, боловсруулагддаг дүрэм журам бөгөөд үүнээс үүдэн гарах бүх хязгаарлалтууд байдаг бол бид техник хангамжид суурилсан ACL-ууд хэрхэн хэрэгжиж байгааг ойлгох болно. нийтлэл. Жишээлбэл, бид Extreme Networks-ийн ExtremeSwitching цувралын унтраалга ашиглах болно.
Бид техник хангамжид суурилсан ACL-ийг сонирхож байгаа тул Data Plane-ийн дотоод хэрэгжилт буюу ашигласан бодит чипсет (ASIC) нь бидний хувьд нэн чухал юм. Бүх Extreme Networks шилжүүлэгчийн шугамууд нь Broadcom ASIC дээр бүтээгдсэн тул доорх мэдээллийн ихэнх нь ижил ASIC дээр хэрэгждэг зах зээл дээрх бусад свичүүдийн хувьд үнэн байх болно.
Дээрх зургаас харахад "ContentAware Engine" нь чипсет дэх ACL-ийн ажиллагааг шууд хариуцаж, "орох" ба "гарц"-ыг тусад нь хариуцдаг. Архитектурын хувьд тэдгээр нь адилхан, зөвхөн "гарц" нь өргөтгөх чадвар багатай, үйл ажиллагаа багатай байдаг. Бие махбодийн хувьд "ContentAware хөдөлгүүр" нь хоёулаа TCAM санах ой ба дагалдах логик бөгөөд хэрэглэгч эсвэл системийн ACL дүрэм бүр нь энэ санах ойд бичигдсэн энгийн бит-маск юм. Тийм ч учраас чипсет нь ачааллын багцыг багцаар нь боловсруулдаг бөгөөд гүйцэтгэлийн бууралтгүй байдаг.
Бие махбодийн хувьд ижил Ingress/Egress TCAM нь эргээд логикийн хувьд "ACL зүсмэлүүд" гэж нэрлэгддэг хэд хэдэн сегментүүдэд (санах ойн хэмжээ болон платформоос хамаарч) хуваагддаг. Жишээлбэл, та зөөврийн компьютер дээрээ хэд хэдэн логик хөтчүүдийг үүсгэх үед физикийн хувьд ижил HDD-тэй ижил зүйл тохиолддог - C:>, D:>. ACL зүсмэл бүр нь эргээд "дүрэм" (дүрэм/бит маск) бичигдсэн "мөр" хэлбэртэй санах ойн нүднүүдээс тогтдог.
TCAM-ийг ACL-зүсмэлүүд болгон хуваах нь цаанаа тодорхой логиктой байдаг. Тус тусад нь ACL-зүсмэлүүд дээр зөвхөн өөр хоорондоо нийцтэй "дүрэм" бичиж болно. Хэрэв "дүрэм"-ийн аль нэг нь өмнөхтэй тохирохгүй бол өмнөх хэсэгт "дүрэм"-ийн хэдэн чөлөөт мөр үлдсэнээс үл хамааран дараагийн ACL-зүсмэл рүү бичигдэнэ.
ACL дүрмийн энэ нийцтэй байдал эсвэл үл нийцэх байдал хаанаас гардаг вэ? Баримт нь "дүрэм" бичигдсэн нэг TCAM "мөр" нь 232 битийн урттай бөгөөд хэд хэдэн талбарт хуваагддаг - Тогтмол, Талбар1, Талбар2, Талбар3. 232 бит буюу 29 байт TCAM санах ой нь тодорхой MAC эсвэл IP хаягийн битийн маскыг бичихэд хангалттай боловч бүрэн Ethernet пакетийн толгойноос хамаагүй бага юм. ACL-зүсмэл тус бүрт ASIC нь F1-F3-д тохируулсан бит-маскын дагуу бие даасан хайлт хийдэг. Ерөнхийдөө энэ хайлтыг Ethernet толгойн эхний 128 байт ашиглан хийж болно. Үнэн хэрэгтээ хайлтыг 128 байтаас илүү хийх боломжтой, гэхдээ зөвхөн 29 байт бичих боломжтой тул зөв хайхын тулд багцын эхлэлтэй харьцуулахад офсетийг тохируулах шаардлагатай. ACL-зүсмэл тус бүрийн офсетийг эхний дүрмийг түүнд бичих үед тохируулдаг бөгөөд хэрэв дараагийн дүрмийг бичих үед өөр офсет хийх хэрэгцээ илэрвэл ийм дүрмийг эхнийхтэй нийцэхгүй гэж тооцож, дараах дүрмийг бичнэ. дараагийн ACL-зүсмэл.
Доорх хүснэгтэд ACL-д заасан нөхцлүүдийн нийцтэй байдлын дарааллыг харуулав. Тусдаа мөр бүр өөр хоорондоо нийцтэй, бусад мөртэй нийцэхгүй үүсгэсэн бит-маскуудыг агуулдаг.
ASIC-ийн боловсруулсан багц бүр нь ACL-зүсмэл бүрт зэрэгцээ хайлт хийдэг. Шалгалт нь ACL-зүсмэл дэх эхний тохирол хүртэл хийгддэг боловч өөр өөр ACL-зүсмэлүүд дэх ижил багцад олон таарахыг зөвшөөрдөг. "Дүрэм" бүр нь нөхцөл (бит-маск) тохирч байвал гүйцэтгэх ёстой харгалзах үйлдэлтэй. Хэрэв тохирол хэд хэдэн ACL зүсмэлүүдэд нэгэн зэрэг тохиолдвол "Үйл ажиллагааны зөрчилдөөнийг шийдвэрлэх" блок дээр ACL-зүсмэлийн тэргүүлэх чиглэлийг үндэслэн ямар үйлдлийг гүйцэтгэхийг шийднэ. Хэрэв ACL нь "үйлдэл" (зөвшөөрөх/татгалзах) болон "үйлдэл өөрчлөх" (count/QoS/log/...) хоёуланг нь агуулж байвал олон таарсан тохиолдолд зөвхөн өндөр ач холбогдол бүхий "үйлдэл"-ийг гүйцэтгэх ба харин "үйлдэл"-ийг гүйцэтгэнэ. -өөрчлөгч” бүгдийг бөглөнө. Доорх жишээнээс харахад тоолуур хоёулаа нэмэгдэж, илүү өндөр ач холбогдолтой "татгалзах" үйлдлийг гүйцэтгэх болно.
вэб сайт дээр нийтийн домэйн дахь ACL-ийн үйл ажиллагааны талаар илүү дэлгэрэнгүй мэдээлэлтэй . Гарч ирсэн эсвэл хэвээр байгаа аливаа асуултыг манай оффисын ажилтнуудаас асууж болно. .
Эх сурвалж: www.habr.com