ACLs (Access Control List) dina alat jaringan bisa dilaksanakeun boh dina hardware jeung software, atawa leuwih ilahar disebutkeun, hardware jeung software basis ACLs. Sareng upami sadayana kedah jelas sareng ACL dumasar kana parangkat lunak - ieu mangrupikeun aturan anu disimpen sareng diprosés dina RAM (nyaéta dina Control Plane), kalayan sagala larangan anu salajengna, maka urang bakal ngartos kumaha ACL dumasar-hardware dilaksanakeun sareng dianggo urang. artikel. Salaku conto, urang bakal nganggo saklar tina séri ExtremeSwitching ti Extreme Networks.
Kusabab urang museurkeun ACLs basis hardware, palaksanaan internal tina Data Plane, atawa chipsets sabenerna (ASICs) dipaké, nyaeta Cangkuang pentingna pikeun urang. Sadaya garis switch Jaringan ekstrim diwangun dina Broadcom ASICs, sarta ku kituna lolobana informasi di handap ogé bakal bener keur saklar séjén dina pasaran anu dilaksanakeun dina ASICs sarua.
Salaku bisa ditempo ti inohong di luhur, "ContentAware Engine" langsung jawab operasi ACLs dina chipset, misah pikeun "ingress" jeung "egress". Architecturally, aranjeunna sami, ngan "egress" kirang scalable na kirang fungsi. Sacara fisik, duanana "ContentAware Engines" nyaéta mémori TCAM sareng logika anu dibarengan, sareng unggal pangguna atanapi sistem aturan ACL mangrupikeun topeng-bit anu sederhana anu ditulis dina mémori ieu. Éta sababna chipset ngolah pakét lalu lintas ku pakét sareng tanpa degradasi kinerja.
Fisik, sarua Ingress / Egress TCAM, kahareupna dibagi logis kana sababaraha bagéan (gumantung kana jumlah memori sorangan jeung platform nu), nu disebut "ACL keureut". Salaku conto, hal anu sami kajadian sareng HDD anu sami dina laptop anjeun nalika anjeun nyiptakeun sababaraha drive logis dina éta - C:>, D:>. Unggal ACL-nyiksikan, kahareupna diwangun ku sél memori dina bentuk "string" dimana "aturan" (aturan / topeng bit) ditulis.
Divisi TCAM kana ACL-nyiksikan boga logika tangtu balik eta. Dina unggal ACL-nyiksikan individu, ngan bisa ditulis "aturan" nu cocog saling. Lamun salah sahiji "aturan" teu cocog jeung saméméhna, mangka bakal ditulis ka hareup ACL-nyiksikan, paduli sabaraha bebas garis pikeun "aturan" ditinggalkeun dina saméméhna.
Dimana datangna kasaluyuan atanapi incompatibility aturan ACL ieu? Kanyataanna nyaéta hiji "garis" TCAM, dimana "aturan" ditulis, panjangna 232 bit sareng dibagi kana sababaraha widang - Fixed, Field1, Field2, Field3. 232 bit atawa 29 bait memori TCAM cukup pikeun ngarekam bit-topeng tina MAC husus atawa alamat IP, tapi loba kurang ti header pakét Ethernet pinuh. Dina unggal ACL-nyiksikan individu, ASIC ngalakukeun hiji lookup bebas nurutkeun bit-topeng diatur dina F1-F3. Sacara umum, pamariksaan ieu tiasa dilakukeun nganggo 128 bait anu munggaran tina lulugu Ethernet. Sabenerna, persis sabab pilarian bisa dipigawé leuwih 128 bait, tapi ngan 29 bait bisa ditulis, pikeun lookup bener offset kudu diatur relatif ka awal pakét. The offset pikeun tiap ACL-slice diatur nalika aturan kahiji ditulis ka dinya, sarta lamun nulis aturan saterusna, perlu pikeun offset sejen kapanggih, lajeng aturan sapertos dianggap sauyunan jeung aturan kahiji sarta ditulis ka salajengna ACL-nyiksikan.
Tabel di handap nembongkeun urutan kasaluyuan kaayaan dieusian dina ACL. Unggal garis individu ngandung dihasilkeun bit-masker nu cocog saling sarta sauyunan jeung garis séjén.
Unggal pakét individu diolah ku ASIC ngajalankeun hiji lookup paralel dina unggal ACL-nyiksikan. cék dipigawé nepi ka pertandingan kahiji dina ACL-nyiksikan, tapi sababaraha patandingan diwenangkeun pikeun pakét sarua dina ACL-nyiksikan béda. Unggal "aturan" individu gaduh tindakan anu saluyu anu kedah dilakukeun upami kaayaan (bit-mask) cocog. Mun hiji patandingan lumangsung dina sababaraha ACL-nyiksikan sakaligus, lajeng dina blok "Aksi Konflik Resolution", dumasar kana prioritas ACL-nyiksikan, kaputusan dijieun nu aksi nedunan. Lamun ACL ngandung duanana "aksi" (idin / mungkir) jeung "aksi-modifier" (cacah / QoS / log / ...), lajeng dina kasus sababaraha patandingan ngan-prioritas luhur "aksi" bakal dieksekusi, sedengkeun "aksi". -modifier" bakal sadayana réngsé. Conto di handap nunjukeun yen duanana counters bakal incremented jeung prioritas luhur "mungkir" bakal dieksekusi.
kalawan inpo nu leuwih wincik tentang operasi ACL dina domain publik dina website . Sakur patarosan anu timbul atanapi tetep tiasa ditaroskeun ka staf kantor kami - .
sumber: www.habr.com