ACL (Orodha ya Udhibiti wa Ufikiaji) kwenye vifaa vya mtandao inaweza kutekelezwa katika maunzi na programu, au kwa kawaida zaidi, maunzi na ACL zinazotegemea programu. Na ikiwa kila kitu kinapaswa kuwa wazi na ACL za msingi wa programu - hizi ni sheria ambazo huhifadhiwa na kuchakatwa kwenye RAM (yaani kwenye Ndege ya Kudhibiti), pamoja na vikwazo vyote vinavyofuata, basi tutaelewa jinsi ACL za msingi wa maunzi zinatekelezwa na kufanya kazi yetu. makala. Kwa mfano, tutatumia swichi kutoka kwa mfululizo wa ExtremeSwitching kutoka kwa Mitandao Iliyokithiri.
Kwa kuwa tunavutiwa na ACL zinazotegemea maunzi, utekelezaji wa ndani wa Data Plane, au chipsets halisi (ASIC) zinazotumiwa, ni wa umuhimu mkubwa kwetu. Njia zote za kubadili Mitandao Iliyokithiri hujengwa kwenye Broadcom ASICs, na kwa hivyo taarifa nyingi hapa chini zitakuwa za kweli kwa swichi zingine kwenye soko ambazo zinatekelezwa kwenye ASIC sawa.
Kama inavyoonekana kutoka kwa kielelezo hapo juu, "Injini ya Maudhui ya Kutambua" inawajibika moja kwa moja kwa uendeshaji wa ACL kwenye chipset, tofauti kwa "ingress" na "egress". Kwa usanifu, wao ni sawa, tu "egress" ni chini ya scalable na chini ya kazi. Kimwili, "ContentAware Engines" ni kumbukumbu ya TCAM pamoja na mantiki inayoandamana, na kila mtumiaji au sheria ya mfumo wa ACL ni kinyago rahisi kilichoandikwa kwa kumbukumbu hii. Ndio maana chipset huchakata pakiti za trafiki kwa pakiti na bila uharibifu wa utendaji.
Kimwili, TCAM sawa ya Ingress / Egress, kwa upande wake, imegawanywa kimantiki katika makundi kadhaa (kulingana na kiasi cha kumbukumbu yenyewe na jukwaa), kinachojulikana "vipande vya ACL". Kwa mfano, kitu kimoja kinatokea kwa HDD sawa kwenye kompyuta yako ya mkononi wakati unapounda anatoa kadhaa za mantiki juu yake - C:>, D:>. Kila kipande cha ACL, kwa upande wake, kina seli za kumbukumbu kwa namna ya "kamba" ambapo "sheria" (sheria / masks kidogo) zimeandikwa.
Mgawanyiko wa TCAM katika vipande vya ACL una mantiki fulani nyuma yake. Katika kila moja ya vipande vya ACL, "sheria" tu ambazo zinaendana na kila mmoja zinaweza kuandikwa. Ikiwa yoyote ya "sheria" haiendani na ya awali, basi itaandikwa kwa kipande cha ACL-kifuatacho, bila kujali ni mistari ngapi ya bure ya "sheria" iliyoachwa katika uliopita.
Je, utangamano huu au kutopatana kwa sheria za ACL kunatoka wapi? Ukweli ni kwamba "mstari" mmoja wa TCAM, ambapo "sheria" imeandikwa, ina urefu wa bits 232 na imegawanywa katika nyanja kadhaa - Fixed, Field1, Field2, Field3. Kumbukumbu ya TCAM ya biti 232 au 29 inatosha kurekodi kinyago cha anwani maalum ya MAC au IP, lakini ni chini sana kuliko kichwa kamili cha pakiti ya Ethaneti. Katika kila kipande cha ACL, ASIC hufanya uchunguzi huru kulingana na biti-mask iliyowekwa katika F1-F3. Kwa ujumla, uchunguzi huu unaweza kufanywa kwa kutumia baiti 128 za kwanza za kichwa cha Ethernet. Kwa kweli, kwa sababu utaftaji unaweza kufanywa zaidi ya ka 128, lakini ni ka 29 tu zinaweza kuandikwa, kwa utaftaji sahihi lazima uweke kukabiliana na mwanzo wa pakiti. Kukabiliana kwa kila kipande cha ACL kinawekwa wakati sheria ya kwanza imeandikwa kwake, na ikiwa, wakati wa kuandika sheria inayofuata, hitaji la kukabiliana lingine linagunduliwa, basi sheria hiyo inachukuliwa kuwa haiendani na ya kwanza na imeandikwa kwa ACL-kipande kinachofuata.
Jedwali hapa chini linaonyesha mpangilio wa utangamano wa masharti yaliyoainishwa katika ACL. Kila mstari wa mtu binafsi una vinyago-biti vilivyotengenezwa ambavyo vinaoana na hazioani na mistari mingine.
Kila pakiti ya mtu binafsi iliyochakatwa na ASIC hutafuta utafutaji sambamba katika kila kipande cha ACL. Ukaguzi unafanywa hadi mechi ya kwanza katika kipande cha ACL, lakini mechi nyingi zinaruhusiwa kwa pakiti sawa katika vipande tofauti vya ACL. Kila "sheria" ya mtu binafsi ina hatua inayolingana ambayo lazima ifanyike ikiwa hali (bit-mask) inafanana. Ikiwa mechi itatokea katika vipande kadhaa vya ACL mara moja, basi katika kizuizi cha "Action Conflict Resolution", kulingana na kipaumbele cha kipande cha ACL, uamuzi unafanywa ni hatua gani ya kufanya. Ikiwa ACL ina "kitendo" (kibali/kukataa) na "kirekebishaji-kitendo" (hesabu/QoS/logi/...), basi ikiwa kuna mechi nyingi, "hatua" ya kipaumbele cha juu pekee ndiyo itatekelezwa, huku "hatua". -modifierβ yote yatakamilika. Mfano ulio hapa chini unaonyesha kuwa kaunta zote mbili zitaongezwa na "kukataa" kwa kipaumbele zaidi kutatekelezwa.
na maelezo zaidi kuhusu uendeshaji wa ACL katika kikoa cha umma kwenye tovuti . Maswali yoyote yanayoibuka au kubaki yanaweza kuulizwa kila wakati kwa wafanyikazi wetu wa ofisi - .
Chanzo: mapenzi.com