交换

一、vlan技术

1、vlan简介

vlan，即Virtual LAN虚拟局域网，定义于802.1Q中，本质是用来隔离广播域。L2转发中，目的地未知的报文以及广播报文会在整个交换机的所有端口泛红，这些随意泛洪的报文会浪费端口的带宽，同时也存在安全隐患。在没有引入VLAN之前，L2网络是一个大的广播域。为解决该问题，引入VLAN技术。VLAN的作用是将物理上互连的网络在逻辑上划分为多个广播隔离的网络。每个VLAN对应一个广播域，每个端口都可以加入一个或者多个VLAN。某个VLAN成员发出的数据报文只会在加入该VLAN的端口泛洪。

2、vlan技术原理

1）vlan整体流程及芯片架构

芯片中vlan相关逻辑简化：(packet) ——> parser process ——> vlan mapping ——> vlan select ——> vlan filter ——> vlan forwarding ——> vlan mapping ——> vlan edit ——>

parser process：用于解析报文携带的VLAN Tag；
vlan mapping：实现QinQ、Vlan translation及vlan Classifier的核心，对应芯片的IPE SCL查找和EPE SCL查找。SCL是芯片公共模块，主要功能是根据报文信息和端口配置信息进行组Key，并进行hash或者tcam类型的SCL表现查找，根据查找结果获取报文转发和编辑信息，即vlan的编辑；
vlan select：是选择最终用于后续转发的vlan，芯片支持基于port、mac、IP、ethtype等多种方式灵活的化为vlan，vlan select模块会根据优先级进行vlan的选择；
vlan forwarding：支持基于vlan直接出转发信息和基于vlan+mac做bridging转发。其中，基于vlan直接出转发信息的实现需要依赖IPE SCL查找结果；
vlan edit：可以简单的理解为对报文出口转发时vlan字段的编辑，包含添加vlan，更新vlan，删除vlan。

2、vlan的转发

vlan的转发技术可以简单分为两种：一是基于vlan和macda查找FDB转发表项进行转发；二是基于vlan tag直接出下一跳进行转发

二、acl访问控制列表

1、acl介绍

ACL是一种访问控制技术。通过在路由器或交换机上配置规则和处理操作，能够实现包过滤功能。ACL是一个有序的规则集，其中包含的规则称为访问控制表项（ACE，Access Control Entry）。当设备端口接收到报文后，解析二、三、四层包头中的信息，芯片会根据当前端口上应用的ACL规则对报文字段进行分析，根据预先定义好的规则（key）对字段进行匹配，过滤特定的数据包。芯片匹配成功后，根据预先设定的策略调整报文的转发行为，例如允许、禁止该报文通过等，从而达到访问控制的目的。由于访问控制列表具有区分数据包的功能，因此，访问控制列表能够控制“什么样的数据包，可以做什么样的事情”。

2、acl芯片原理

 

 

 芯片中，ACL定义访问控制规则。端口接收到报文，首先进行解析，根据报文和芯片端口等属性，选择特定的信息去匹配ACL定义的访问控制规则。如果匹配成功，则按照规则规定的行为处理数据包。ACL功能共有3部分，ACL使能，ACL组key，ACL查找：

ACL使能：主要负责启用ACL功能；
ACL组key：主要决定用哪些信息进行规则的匹配；
ACL查找：主要负责将选中的信息与芯片定义的规则进行匹配，若匹配到，按照定义的规则处理报文。

芯片支持ingress方向和egress方向的ACL。在ingress方向，支持hash和TCAM两种查找方式（通常将ingress方向上hash方式实现的ACL称作flow hash）。ingress ACL支持1次HASH+16次TCAM的并行查找。TCAM规格为160bits*2K*16次，hash规格最大64K。egress ACL支持4次TCAM查找，每次ACL查找可以配置单独的key类型。TCAM规格为160bits*1K*4次。