交换

一、vlan技术

1、vlan简介

vlan,即Virtual LAN虚拟局域网,定义于802.1Q中,本质是用来隔离广播域。L2转发中,目的地未知的报文以及广播报文会在整个交换机的所有端口泛红,这些随意泛洪的报文会浪费端口的带宽,同时也存在安全隐患。在没有引入VLAN之前,L2网络是一个大的广播域。为解决该问题,引入VLAN技术。VLAN的作用是将物理上互连的网络在逻辑上划分为多个广播隔离的网络。每个VLAN对应一个广播域,每个端口都可以加入一个或者多个VLAN。某个VLAN成员发出的数据报文只会在加入该VLAN的端口泛洪。

2、vlan技术原理

1)vlan整体流程及芯片架构

芯片中vlan相关逻辑简化:(packet) ——> parser process ——> vlan mapping ——> vlan select ——> vlan filter ——> vlan forwarding ——> vlan mapping ——> vlan edit ——>

parser process:用于解析报文携带的VLAN Tag;
vlan mapping:实现QinQ、Vlan translation及vlan Classifier的核心,对应芯片的IPE SCL查找和EPE SCL查找。SCL是芯片公共模块,主要功能是根据报文信息和端口配置信息进行组Key,并进行hash或者tcam类型的SCL表现查找,根据查找结果获取报文转发和编辑信息,即vlan的编辑;
vlan select:是选择最终用于后续转发的vlan,芯片支持基于port、mac、IP、ethtype等多种方式灵活的化为vlan,vlan select模块会根据优先级进行vlan的选择;
vlan forwarding:支持基于vlan直接出转发信息和基于vlan+mac做bridging转发。其中,基于vlan直接出转发信息的实现需要依赖IPE SCL查找结果;
vlan edit:可以简单的理解为对报文出口转发时vlan字段的编辑,包含添加vlan,更新vlan,删除vlan。

2、vlan的转发

vlan的转发技术可以简单分为两种:一是基于vlan和macda查找FDB转发表项进行转发;二是基于vlan tag直接出下一跳进行转发

二、acl访问控制列表

1、acl介绍

ACL是一种访问控制技术。通过在路由器或交换机上配置规则和处理操作,能够实现包过滤功能。ACL是一个有序的规则集,其中包含的规则称为访问控制表项(ACE,Access Control Entry)。当设备端口接收到报文后,解析二、三、四层包头中的信息,芯片会根据当前端口上应用的ACL规则对报文字段进行分析,根据预先定义好的规则(key)对字段进行匹配,过滤特定的数据包。芯片匹配成功后,根据预先设定的策略调整报文的转发行为,例如允许、禁止该报文通过等,从而达到访问控制的目的。由于访问控制列表具有区分数据包的功能,因此,访问控制列表能够控制“什么样的数据包,可以做什么样的事情”。

2、acl芯片原理

 

 

 芯片中,ACL定义访问控制规则。端口接收到报文,首先进行解析,根据报文和芯片端口等属性,选择特定的信息去匹配ACL定义的访问控制规则。如果匹配成功,则按照规则规定的行为处理数据包。ACL功能共有3部分,ACL使能,ACL组key,ACL查找:

ACL使能:主要负责启用ACL功能;
ACL组key:主要决定用哪些信息进行规则的匹配;
ACL查找:主要负责将选中的信息与芯片定义的规则进行匹配,若匹配到,按照定义的规则处理报文。

芯片支持ingress方向和egress方向的ACL。在ingress方向,支持hash和TCAM两种查找方式(通常将ingress方向上hash方式实现的ACL称作flow hash)。ingress ACL支持1次HASH+16次TCAM的并行查找。TCAM规格为160bits*2K*16次,hash规格最大64K。egress ACL支持4次TCAM查找,每次ACL查找可以配置单独的key类型。TCAM规格为160bits*1K*4次。

 

posted @ 2022-07-22 17:31  Lin_泠沐  阅读(659)  评论(0编辑  收藏  举报