ACL (Access Control List) na omrežnih napravah je mogoče implementirati tako v strojno kot v programsko opremo ali pogosteje ACL na osnovi strojne in programske opreme. In če bi moralo biti s programsko zasnovanimi ACL-ji vse jasno - to so pravila, ki so shranjena in obdelana v RAM-u (tj. na nadzorni ravnini), z vsemi iz tega izhajajočimi omejitvami, potem bomo razumeli, kako so ACL-ji na osnovi strojne opreme implementirani in delujejo naše Članek. Kot primer bomo uporabili stikala iz serije ExtremeSwitching podjetja Extreme Networks.
Ker nas zanimajo ACL-ji, ki temeljijo na strojni opremi, je notranja izvedba podatkovne ravnine ali dejanskih uporabljenih naborov čipov (ASIC) za nas izjemnega pomena. Vse linije stikal Extreme Networks so zgrajene na Broadcom ASIC, zato bo večina spodnjih informacij veljala tudi za druga stikala na trgu, ki so implementirana na istih ASIC.
Kot je razvidno iz zgornje slike, je »ContentAware Engine« neposredno odgovoren za delovanje ACL-jev v naboru čipov, ločeno za »ingress« in »egress«. Arhitekturno sta si enaka, le "egress" je manj razširljiv in manj funkcionalen. Fizično sta oba »motorja ContentAware« pomnilnik TCAM in spremljajoča logika, vsako uporabniško ali sistemsko pravilo ACL pa je preprosta bitna maska, zapisana v ta pomnilnik. Zato nabor čipov obdeluje promet paket za paketom in brez poslabšanja zmogljivosti.
Fizično je isti vhodni/izhodni TCAM logično razdeljen na več segmentov (odvisno od količine samega pomnilnika in platforme), tako imenovanih "rezin ACL". Enako se na primer zgodi s fizično istim trdim diskom na vašem prenosniku, ko na njem ustvarite več logičnih pogonov - C:>, D:>. Vsaka rezina ACL je sestavljena iz pomnilniških celic v obliki "nizov", kjer so zapisana "pravila" (pravila/bitne maske).
Delitev TCAM na rezine ACL ima določeno logiko. V vsako posamezno rezino ACL lahko zapišete samo »pravila«, ki so združljiva med seboj. Če katero od »pravil« ni združljivo s prejšnjim, bo zapisano v naslednjo rezino ACL, ne glede na to, koliko prostih vrstic za »pravila« je ostalo v prejšnji.
Od kod potem ta združljivost ali nezdružljivost pravil ACL? Dejstvo je, da ima ena "vrstica" TCAM, kjer so zapisana "pravila", dolžino 232 bitov in je razdeljena na več polj - Fixed, Field1, Field2, Field3. 232-bitni ali 29-bajtni pomnilnik TCAM zadostuje za snemanje bitne maske določenega naslova MAC ali IP, vendar veliko manj kot celotna glava paketa Ethernet. V vsaki posamezni rezini ACL izvede ASIC neodvisno iskanje glede na bitno masko, nastavljeno v F1-F3. Na splošno je to iskanje mogoče izvesti z uporabo prvih 128 bajtov glave Ethernet. Pravzaprav, prav zato, ker se lahko išče po 128 bajtih, lahko pa se zapiše samo 29 bajtov, je za pravilno iskanje treba nastaviti odmik glede na začetek paketa. Odmik za vsako rezino ACL je nastavljen, ko je vanjo zapisano prvo pravilo, in če se pri pisanju naslednjega pravila odkrije potreba po drugem odmiku, se takšno pravilo šteje za nezdružljivo s prvim in se zapiše v naslednjo rezino ACL.
Spodnja tabela prikazuje vrstni red združljivosti pogojev, navedenih v ACL. Vsaka posamezna vrstica vsebuje generirane bitne maske, ki so združljive med seboj in nezdružljive z drugimi vrsticami.
Vsak posamezen paket, ki ga obdela ASIC, izvede vzporedno iskanje v vsaki rezini ACL. Preverjanje se izvaja do prvega ujemanja v rezini ACL, vendar je dovoljeno več ujemanj za isti paket v različnih rezinah ACL. Vsako posamezno »pravilo« ima ustrezno dejanje, ki ga je treba izvesti, če se pogoj (bitna maska) ujema. Če pride do ujemanja v več rezinah ACL hkrati, se v bloku »Reševanje sporov dejanj« na podlagi prioritete rezine ACL sprejme odločitev, katero dejanje je treba izvesti. Če ACL vsebuje tako »action« (dovoljenje/zavrnitev) kot »action-modifier« (count/QoS/log/…), bo v primeru več ujemanj izvedeno le »action« z višjo prednostjo, medtem ko bo »action -modifier« bo vse dokončano. Spodnji primer kaže, da se bosta oba števca povečala in da bo izveden »zavrnitev« z višjo prioriteto.
s podrobnejšimi informacijami o delovanju ACL v javnosti na spletni strani . Vsa vprašanja, ki se pojavijo ali ostajajo, lahko vedno postavite osebju naše pisarne - .
Vir: www.habr.com