ACL (Daptar Kontrol Aksés) dina alat jaringan tiasa dilaksanakeun nganggo hardware atanapi software, atanapi langkung umum, ACL dumasar kana hardware sareng software. Bari ACLs basis software anu timer explanatory-aranjeunna aturan disimpen na diolah dina RAM (ie, dina Control Plane), kalawan sagala watesan nu diperlukeun-urang bakal neuleuman kumaha ACLs basis hardware anu dilaksanakeun sarta beroperasi dina artikel ieu. Kami bakal nganggo saklar ExtremeSwitching tina Extreme Networks sabagé conto.
Kusabab urang museurkeun husus dina hardware basis ACLs, palaksanaan internal tina Data Plane, atawa chipsets (ASICs) dipaké, mangrupa primér pentingna. Saklar dina sakabéh garis produk Extreme Networks diwangun dina Broadcom ASICs, jadi lolobana informasi di handap ogé bakal dilarapkeun ka switch séjén dina pasaran anu diwangun dina ASICs sarua.
Salaku gambar di luhur nembongkeun, "ContentAware Engine" dina chipset langsung jawab operasi ACL, kalawan misah "ingress" jeung "egress" mesin. Sacara arsitéktur, aranjeunna idéntik, ngan ukur "kaluar" anu kirang skalabel sareng kirang fungsional. Sacara fisik, duanana "ContentAware Engines" diwangun ku memori TCAM tambah logika pakait, sarta unggal pamaké atawa sistem aturan ACL mangrupakeun topeng bit basajan disimpen dina mémori ieu. Ieu naha chipset ngolah lalu lintas dina dasar per-pakét, tanpa aya degradasi kinerja.
A Ingress fisik tunggal / Egress TCAM logis dibagi kana sababaraha bagéan (gumantung kana jumlah memori sareng platform), disebut "ACL keureut". Salaku conto, hal anu sami kajadian sareng HDD fisik anu sami dina laptop anjeun nalika anjeun nyiptakeun sababaraha drive logis dina éta-C:>, D:>. Unggal nyiksikan ACL diwangun ku sél memori, dina bentuk "string," dimana "aturan" (bit mask) ditulis.
Divisi TCAM kana keureut ACL boga logika husus balik eta. Unggal nyiksikan ACL individu ngan bisa ngandung cocog "aturan". Lamun "aturan" teu cocog jeung saméméhna, eta bakal ditulis kana keureutan ACL salajengna, paduli sabaraha bebas "aturan" baris tetep dina saméméhna.
Janten dimana kasaluyuan atanapi sauyunan aturan ACL ieu asalna? Kanyataanna nyaéta hiji "baris" TCAM, dimana "aturan" ditulis, panjangna 232 bit sareng dibagi kana sababaraha widang-Fixed, Field1, Field2, sareng Field3. 232 bit, atawa 29 bait, memori TCAM cukup pikeun nyimpen bitmask tina MAC husus atawa alamat IP, tapi nyata kirang ti header pakét Ethernet pinuh. Dina unggal keureutan ACL individu, ASIC ngalakukeun hiji lookup bebas ngagunakeun bitmasks diatur dina F1-F3. Gemblengna, pamariksaan ieu tiasa dilakukeun dina 128 bait munggaran tina lulugu Ethernet. Kusabab pilarian bisa dipigawé dina 128 bait, tapi ngan 29 bait bisa ditulis, hiji offset relatif ka awal pakét kudu diatur pikeun lookup ditangtoskeun. The offset pikeun tiap nyiksikan ACL diatur nalika aturan kahiji ditulis ka dinya, sarta lamun perlu pikeun offset béda kapanggih nalika nulis aturan saterusna, aturan sapertos dianggap sauyunan jeung kahiji sarta ditulis kana keureutan ACL salajengna.
Tabel di handap nembongkeun urutan kasaluyuan kaayaan dieusian dina ACL. Tiap garis individu ngandung bitmasks nu cocog saling jeung nu sauyunan jeung garis séjén.
Unggal pakét individu diolah ku ASIC ngajalankeun hiji lookup paralel dina unggal nyiksikan ACL. Cék dipigawé nepi ka pertandingan kahiji kapanggih dina nyiksikan ACL, tapi sababaraha patandingan pikeun pakét sarua dina keureut ACL béda diwenangkeun. Unggal "aturan" individu gaduh tindakan anu saluyu anu kedah dilakukeun upami kaayaan (topeng bit) cocog. Mun hiji patandingan lumangsung dina sababaraha keureut ACL, blok "Aksi Konflik Resolusi" mutuskeun Peta nu ngalakukeun dumasar kana prioritas keureutan ACL. Lamun hiji ACL nangtukeun duanana mangrupa "aksi" (idin / mungkir) jeung "aksi-modifier" (count / QoS / log / ...), lajeng dina acara sababaraha patandingan, ngan-prioritas luhur "aksi" bakal dieksekusi, bari sakabeh "aksi-modifiers" bakal dieksekusi. Conto di handap ieu nunjukeun yen duanana counters bakal incremented, sarta-prioritas luhur "mungkir" aksi bakal dieksekusi.
Inpo nu leuwih lengkep ngeunaan operasi ACL urang sadia pikeun umum dina website Upami anjeun gaduh patarosan atanapi gaduh patarosan anu sanés, anjeun tiasa naroskeun ka staf kantor kami - .
sumber: www.habr.com
