ကွန်ရက်စက်ပစ္စည်းများရှိ ACLs (Access Control List) ကို ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ်တွင် နှစ်မျိုးလုံး အကောင်အထည်ဖော်နိုင်သည်၊ သို့မဟုတ် ပိုအသုံးများသည်မှာ၊ ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ်အခြေခံ ACLs များဖြစ်သည်။ အကယ်၍ အရာအားလုံးသည် software-based ACLs များဖြင့် ရှင်းလင်းသင့်သည်ဆိုပါက၊ ၎င်းတို့သည် RAM တွင် သိမ်းဆည်းပြီး စီမံဆောင်ရွက်ထားသော စည်းမျဉ်းများ (ဥပမာ Control Plane တွင်)၊ နောက်ဆက်တွဲ ကန့်သတ်ချက်များ အားလုံးနှင့်အတူ၊ ထို့နောက် hardware-based ACLs များကို အကောင်အထည်ဖော်ပြီး ကျွန်ုပ်တို့၏ အလုပ်လုပ်ပုံကို နားလည်ပါမည်။ ဆောင်းပါး။ ဥပမာအနေဖြင့်၊ Extreme Networks မှ ExtremeSwitching စီးရီးများမှ ခလုတ်များကို အသုံးပြုပါမည်။
ကျွန်ုပ်တို့သည် ဟာ့ဒ်ဝဲအခြေခံ ACL များကို စိတ်ဝင်စားသောကြောင့်၊ Data Plane ၏အတွင်းပိုင်းအကောင်အထည်ဖော်မှု သို့မဟုတ် အမှန်တကယ်အသုံးပြုထားသော chipsets (ASICs) သည် ကျွန်ုပ်တို့အတွက် အလွန်အရေးကြီးပါသည်။ Extreme Networks switch လိုင်းများအားလုံးသည် Broadcom ASICs တွင်တည်ဆောက်ထားပြီး၊ ထို့ကြောင့် ASICs တစ်ခုတည်းတွင်အကောင်အထည်ဖော်သော စျေးကွက်ရှိ အခြားသော switches များအတွက်လည်း အောက်ဖော်ပြပါအချက်အလက်အများစုသည် မှန်ကန်မည်ဖြစ်ပါသည်။
အထက်ဖော်ပြပါပုံတွင်တွေ့မြင်နိုင်သည်အတိုင်း၊ "ContentAware Engine" သည် "ingress" နှင့် "egress" အတွက် သီးခြားစီ chipset ရှိ ACLs ၏လည်ပတ်မှုအတွက် တိုက်ရိုက်တာဝန်ရှိသည်။ ဗိသုကာအရ၊ ၎င်းတို့သည် တူညီသည်၊ တစ်ခုတည်းသော "egress" သည် အရွယ်အစားနည်းပြီး လုပ်ဆောင်မှုနည်းပါသည်။ ရုပ်ပိုင်းဆိုင်ရာအရ၊ "ContentAware Engines" နှစ်ခုစလုံးသည် TCAM memory နှင့် တွဲဖက်ပါရှိသော logic များဖြစ်ပြီး အသုံးပြုသူ သို့မဟုတ် စနစ် ACL စည်းမျဉ်းတစ်ခုစီသည် ဤ memory တွင်ရေးထားသော ရိုးရှင်းသော bit-mask တစ်ခုဖြစ်သည်။ ထို့ကြောင့် chipset သည် packet ဖြင့် traffic packet ကို လုပ်ဆောင်ပြီး စွမ်းဆောင်ရည် ကျဆင်းခြင်းမရှိပါ။
ရုပ်ပိုင်းဆိုင်ရာအားဖြင့်၊ တူညီသော Ingress/Egress TCAM ကို တစ်ဖန်၊ “ACL အချပ်များ” ဟုခေါ်သော (မှတ်ဉာဏ်ပမာဏနှင့် ပလပ်ဖောင်းပေါ် မူတည်၍) အပိုင်းများစွာသို့ ယုတ္တိနည်းကျကျ ပိုင်းခြားထားသည်။ ဥပမာအားဖြင့်၊ သင်သည် ၎င်းတွင် logical drive အများအပြားကို ဖန်တီးသောအခါတွင် ရုပ်ပိုင်းဆိုင်ရာ တူညီသော HDD နှင့် တူညီသည် - C:>, D:>။ တစ်ဖန် ACL-slice တစ်ခုစီတွင် “စည်းမျဉ်းများ” (စည်းကမ်းများ/ဘစ်မျက်နှာဖုံးများ) ရေးထားသည့် “ကြိုးများ” ပုံစံဖြင့် မှတ်ဉာဏ်ဆဲလ်များ ပါဝင်သည်။
TCAM ၏ ACL-slices များအဖြစ်သို့ ပိုင်းခြားခြင်းသည် ၎င်းနောက်ကွယ်တွင် အချို့သောယုတ္တိတစ်ခုရှိသည်။ ACL-အချပ်တစ်ခုစီတွင်၊ တစ်ခုနှင့်တစ်ခုသဟဇာတဖြစ်သော "စည်းကမ်းများ" ကိုသာ ရေးသားနိုင်သည်။ "စည်းမျဉ်းများ" သည် ယခင်တစ်ခုနှင့် ကိုက်ညီမှုမရှိပါက၊ ၎င်းသည် ယခင်တစ်ခုတွင် "စည်းမျဉ်းများ" အတွက် မည်မျှအခမဲ့စာကြောင်းမည်မျှကျန်နေပါစေ၊ ၎င်းကို နောက် ACL-slice သို့ စာရေးပါမည်။
သို့ဆိုလျှင် ACL စည်းမျဉ်းများ၏ လိုက်ဖက်မှု သို့မဟုတ် လိုက်ဖက်ညီမှု သည် အဘယ်ကလာသနည်း။ အမှန်မှာ TCAM “စည်းမျဥ်း” တစ်ခုသည် “စည်းမျဉ်းများ” ကို ရေးသားသည့် အရှည် 232 bits ရှိပြီး Fixed၊ Field1၊ Field2၊ Field3 တို့ကို အကွက်ပေါင်းများစွာ ခွဲခြားထားသည်။ 232 ဘစ် သို့မဟုတ် 29 byte TCAM မှတ်ဉာဏ်သည် သီးခြား MAC သို့မဟုတ် IP လိပ်စာတစ်ခု၏ ဘစ်မျက်နှာဖုံးကို မှတ်တမ်းတင်ရန် လုံလောက်သော်လည်း Ethernet ပက်ကတ်ခေါင်းစီးထက် များစွာနည်းသည်။ ACL-slice တစ်ခုစီတွင်၊ ASIC သည် F1-F3 တွင် သတ်မှတ်ထားသော bit-mask အရ သီးခြားရှာဖွေမှုကို လုပ်ဆောင်သည်။ ယေဘုယျအားဖြင့်၊ ဤရှာဖွေမှုကို Ethernet ခေါင်းစီး၏ ပထမဆုံး 128 bytes ကို အသုံးပြု၍ လုပ်ဆောင်နိုင်သည်။ အမှန်တကယ်တွင်၊ ရှာဖွေမှု 128 bytes ကျော်လုပ်ဆောင်နိုင်သော်လည်း 29 bytes သာရေးသားနိုင်သောကြောင့် တိကျစွာရှာဖွေနိုင်သောကြောင့် မှန်ကန်သောရှာဖွေမှုအတွက် offset ကို packet ၏အစပိုင်းနှင့်ဆက်စပ်သတ်မှတ်ရမည်ဖြစ်သည်။ ACL-slice တစ်ခုစီအတွက် အော့ဖ်ဆက်ကို ၎င်းသို့ပထမစည်းမျဉ်းကိုရေးသောအခါ၊ နောက်ဆက်တွဲစည်းမျဉ်းတစ်ခုရေးသောအခါ၊ အခြားအော့ဖ်ဆက်လိုအပ်မှုကို ရှာဖွေတွေ့ရှိပါက၊ ထိုစည်းမျဉ်းသည် ပထမစည်းမျဉ်းနှင့်ကိုက်ညီမှုမရှိဟုယူဆပြီး ၎င်းထံသို့ရေးသားမည်ဖြစ်သည်။ နောက် ACL-အချပ်။
အောက်တွင်ဖော်ပြထားသောဇယားသည် ACL တွင်ဖော်ပြထားသောအခြေအနေများ၏လိုက်ဖက်ညီမှုအစီအစဥ်ကိုပြသသည်။ လိုင်းတစ်ခုစီတွင် တစ်ခုနှင့်တစ်ခု သဟဇာတဖြစ်ပြီး အခြားလိုင်းများနှင့် တွဲဖက်၍မရသော ထုတ်ပေးထားသော ဘစ်မျက်နှာဖုံးများ ပါရှိသည်။
ASIC မှ လုပ်ဆောင်သော ပက်ကတ်တစ်ခုစီသည် ACL-slice တစ်ခုစီတွင် အပြိုင်ရှာဖွေမှုကို လုပ်ဆောင်သည်။ ACL-slice တွင် ပထမဆုံးပွဲစဉ်အထိ စစ်ဆေးခြင်းကို လုပ်ဆောင်သော်လည်း မတူညီသော ACL-slices များတွင် တူညီသောအစုံလိုက်အတွက် ကိုက်ညီမှုများစွာကို ခွင့်ပြုထားသည်။ "စည်းမျဉ်း" တစ်ခုစီတွင် အခြေအနေ (bit-mask) နှင့် ကိုက်ညီပါက လုပ်ဆောင်ရမည့် သက်ဆိုင်သည့် လုပ်ဆောင်မှုတစ်ခု ရှိသည်။ အကယ်၍ တိုက်ဆိုင်မှုတစ်ခုသည် ACL-slice အများအပြားတွင် တစ်ပြိုင်နက်ဖြစ်ပေါ်ပါက၊ ထို့နောက် ACL-slice ၏ဦးစားပေးအပေါ်အခြေခံ၍ "Action Conflict Resolution" ပိတ်ဆို့ခြင်းတွင် မည်သည့်လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ရမည်ကို ဆုံးဖြတ်ချက်ချပါသည်။ ACL တွင် "လုပ်ဆောင်ချက်" (ခွင့်ပြု/ငြင်းဆိုခြင်း) နှင့် "လုပ်ဆောင်ချက်-မွမ်းမံမှု" (အရေအတွက်/QoS/log/...) နှစ်ခုလုံးပါဝင်နေပါက၊ ကိုက်ညီမှုများစွာရှိသောအခါတွင်သာ ပိုမိုဦးစားပေးသည့် "လုပ်ဆောင်ချက်" ကို လုပ်ဆောင်မည်ဖြစ်ပြီး၊ "လုပ်ဆောင်ချက်" -modifier" အားလုံးပြီးသွားပါလိမ့်မယ်။ အောက်ဖော်ပြပါ ဥပမာသည် ကောင်တာနှစ်ခုစလုံးကို တိုးလာမည်ဖြစ်ပြီး ပိုမိုမြင့်မားသော ဦးစားပေး "ငြင်းဆိုမှု" ကို လုပ်ဆောင်မည်ဖြစ်ကြောင်း ပြသထားသည်။
ဝဘ်ဆိုက်ရှိ အများသူငှာ ဒိုမိန်းတွင် ACL ၏ လုပ်ဆောင်မှုဆိုင်ရာ အသေးစိတ်အချက်အလက်များနှင့်အတူ . ဖြစ်ပေါ်လာသည့် သို့မဟုတ် ကျန်ရှိနေသော မေးခွန်းများကို ကျွန်ုပ်တို့၏ ရုံးဝန်ထမ်းများထံ အမြဲမေးမြန်းနိုင်ပါသည်။ .
source: www.habr.com