ජාල උපාංගවල ඇති ACLs (ප්රවේශ පාලන ලැයිස්තුව) දෘඪාංග සහ මෘදුකාංග යන දෙකෙහිම ක්රියාත්මක කළ හැකිය, නැතහොත් වඩාත් පොදුවේ කථා කරන, දෘඪාංග සහ මෘදුකාංග පදනම් වූ ACLs. මෘදුකාංග පාදක ACL සමඟ සෑම දෙයක්ම පැහැදිලි විය යුතු නම් - මේවා RAM හි (එනම් පාලන තලයේ) ගබඩා කර සකස් කරන ලද නීති වේ, පසුව එන සියලුම සීමා කිරීම් සමඟ, එවිට අපි දෘඪාංග මත පදනම් වූ ACL ක්රියාත්මක කරන්නේ කෙසේද සහ අපගේ වැඩ කරන්නේ කෙසේද යන්න තේරුම් ගනිමු. ලිපිය. උදාහරණයක් ලෙස, අපි Extreme Networks වෙතින් ExtremeSwitching මාලාවෙන් ස්විච භාවිතා කරන්නෙමු.
අපි දෘඪාංග පදනම් කරගත් ACL ගැන උනන්දුවක් දක්වන බැවින්, Data Plane හි අභ්යන්තර ක්රියාත්මක කිරීම හෝ භාවිතා කරන සැබෑ චිප්සෙට් (ASICs) අපට ඉතා වැදගත් වේ. සියලුම Extreme Networks switch lines Broadcom ASICs මත ගොඩනගා ඇත, එබැවින් පහත තොරතුරු බොහොමයක් එකම ASIC මත ක්රියාත්මක වන වෙළඳපොලේ ඇති අනෙකුත් ස්විචයන් සඳහාද සත්ය වේ.
ඉහත රූපයෙන් දැකිය හැකි පරිදි, "ContentAware Engine" චිප්සෙට් එකේ ACL වල ක්රියාකාරිත්වය සඳහා සෘජුවම වගකිව යුතු අතර, වෙන වෙනම "ඇතුල්වීම" සහ "පිටවීම" සඳහා වේ. වාස්තුවිද්යාත්මකව, ඒවා සමාන වේ, "පිටවීම" පමණක් අඩු පරිමාණය සහ අඩු ක්රියාකාරී වේ. භෞතිකව, “ContentAware Engine” දෙකම TCAM මතකය සහ ඊට අනුබද්ධ තර්කනය වන අතර, එක් එක් පරිශීලකයා හෝ පද්ධති ACL රීතිය මෙම මතකයට ලියා ඇති සරල බිට් මාස්ක් වේ. චිප්සෙට් එක පැකට් එකෙන් සහ කාර්ය සාධනය පිරිහීමකින් තොරව ට්රැෆික් පැකට් සකසන්නේ එබැවිනි.
භෞතිකව, එම Ingress/Egress TCAM, අනෙක් අතට, තාර්කිකව කොටස් කිහිපයකට බෙදා ඇත (මතකයේ ප්රමාණය සහ වේදිකාව මත පදනම්ව), ඊනියා "ACL පෙති". උදාහරණයක් ලෙස, ඔබ එය මත තාර්කික ධාවකයන් කිහිපයක් නිර්මාණය කරන විට ඔබේ ලැප්ටොප් එකේ භෞතිකව එකම HDD සමඟ එකම දේ සිදු වේ - C:>, D:>. සෑම ACL-පෙත්තක්ම, අනෙක් අතට, "රීති" (රීති/බිට් ආවරණ) ලියා ඇති "තන්තු" ආකාරයෙන් මතක සෛල වලින් සමන්විත වේ.
TCAM ACL පෙති වලට බෙදීම පිටුපස යම් තර්කයක් ඇත. එක් එක් ACL පෙති වල, ලිවිය හැක්කේ එකිනෙකට අනුකූල වන "රීති" පමණි. "නීති" කිසිවක් පෙර එක සමඟ නොගැලපේ නම්, පෙර එකෙහි "නීති" සඳහා නිදහස් රේඛා කීයක් ඉතිරිව තිබේද යන්න නොසලකා එය ඊළඟ ACL පෙත්තට ලියා ඇත.
එසේනම් ACL රීතිවල මෙම ගැළපීම හෝ නොගැලපීම පැමිණෙන්නේ කොහෙන්ද? කාරණය නම්, “රීති” ලියා ඇති එක් TCAM “රේඛාවක්”, බිට් 232 ක දිගක් ඇති අතර එය ක්ෂේත්ර කිහිපයකට බෙදා ඇත - ස්ථාවර, ක්ෂේත්ර 1, ක්ෂේත්ර 2, ක්ෂේත්ර 3. 232 bit හෝ 29 byte TCAM මතකය නිශ්චිත MAC හෝ IP ලිපිනයක bit-mask වාර්තා කිරීමට ප්රමාණවත් නමුත් සම්පූර්ණ Ethernet පැකට් ශීර්ෂයට වඩා බෙහෙවින් අඩුය. එක් එක් ACL පෙත්ත තුළ, ASIC විසින් F1-F3 හි ඇති බිට් මාස්ක් කට්ටලයට අනුව ස්වාධීන සෙවීමක් සිදු කරයි. සාමාන්යයෙන්, Ethernet ශීර්ෂයේ පළමු බයිට් 128 භාවිතයෙන් මෙම සෙවීම සිදු කළ හැක. ඇත්ත වශයෙන්ම, සෙවුම බයිට් 128 කට වඩා සිදු කළ හැකි නමුත්, ලිවිය හැක්කේ බයිට් 29ක් පමණක් නිසා, නිවැරදි සෙවීමක් සඳහා පැකට්ටුවේ ආරම්භයට සාපේක්ෂව ඕෆ්සෙට් එකක් සැකසිය යුතුය. එක් එක් ACL පෙත්තක් සඳහා ඕෆ්සෙට් එක පළමු රීතිය ලියා ඇති විට සකසනු ලබන අතර, පසුව රීතියක් ලියන විට, වෙනත් ඕෆ්සෙට් එකක අවශ්යතාවය අනාවරණය වුවහොත්, එවැනි රීතියක් පළමු රීතියට නොගැලපෙන ලෙස සලකනු ලබන අතර එය ලියා ඇත. ඊළඟ ACL පෙත්ත.
පහත වගුවේ දැක්වෙන්නේ ACL හි නිශ්චිතව දක්වා ඇති කොන්දේසි වල අනුකූලතාවයේ අනුපිළිවෙලයි. එක් එක් පේළිය එකිනෙකට ගැළපෙන සහ අනෙකුත් රේඛා සමඟ නොගැලපෙන ජනනය කරන ලද බිට්-මාස්ක් අඩංගු වේ.
ASIC විසින් සකසන ලද සෑම පැකට්ටුවක්ම එක් එක් ACL පෙත්තක් තුළ සමාන්තර සෙවීමක් ක්රියාත්මක කරයි. චෙක්පත ACL-පෙත්තෙහි පළමු ගැලපීම දක්වා සිදු කෙරේ, නමුත් විවිධ ACL-පෙතිවල එකම පැකට්ටුව සඳහා බහුවිධ ගැලපීම් සඳහා ඉඩ දෙනු ලැබේ. එක් එක් තනි "නීතිය" කොන්දේසිය (bit-mask) ගැලපේ නම් සිදු කළ යුතු අනුරූප ක්රියාවක් ඇත. ACL පෙති කිහිපයක එකවර ගැලපීමක් සිදුවුවහොත්, “ක්රියාකාරී ගැටුම් නිරාකරණය” කොටසේ, ACL-පෙත්තේ ප්රමුඛතාවය මත පදනම්ව, කුමන ක්රියාවක් කළ යුතුද යන්න තීරණය කරනු ලැබේ. ACL හි "ක්රියාව" (අවසර/ප්රතික්ෂේප කිරීම) සහ "ක්රියා-විකරණය" (ගණනය/QoS/log/...) යන දෙකම අඩංගු නම්, බහුවිධ ගැලපීම් වලදී, "ක්රියාව" වන අතර, වැඩි ප්රමුඛතා "ක්රියාව" පමණක් ක්රියාත්මක කෙරේ. -modifier" සියල්ල සම්පූර්ණ වනු ඇත. පහත උදාහරණයෙන් දැක්වෙන්නේ කවුන්ටර දෙකම වැඩි වන අතර ඉහළ ප්රමුඛතාවය "ප්රතික්ෂේප කිරීම" ක්රියාත්මක කරන බවයි.
වෙබ් අඩවියේ පොදු වසමෙහි ACL ක්රියාකාරිත්වය පිළිබඳ වඩාත් සවිස්තරාත්මක තොරතුරු සමඟ . පැන නගින හෝ ඉතිරිව ඇති ඕනෑම ප්රශ්නයක් අපගේ කාර්යාල කාර්ය මණ්ඩලයට සැමවිටම ඇසිය හැක - .
මූලාශ්රය: www.habr.com