ACL实现原理

前言

本篇文章是交换芯片中ACL讲解,方便读者快速理解ACL实现原理,后期会不定期更新交换芯片相关知识,感兴趣的可以关注博主。

ACL作用

Acl其实就是一种报文过滤器,Acl分为iAcl(入方向过滤)和eAcl(出方向过滤),其中iAcl的动作可以是forward、trap to cpu、drop和mirror,而eAcl的动作是drop。

ACL芯片匹配规则

在交换芯片内部匹配通常只有TCAM表查找和HASH表查找,而ACL是通过TCAM表中的二进制关键字进行匹配,通过TCAM表中的掩码可以设置精准匹配和模糊匹配(1代表精准匹配,0代表模糊匹配),ACL的匹配遵循一旦命中就停止匹配的原则,TACM表的资源有限,尽量避免一个匹配项多条匹配规则的资源浪费,下表是ACL匹配流程图,方便大家参考和理解。
在这里插入图片描述

ACL分类

ACL可以通过Eth、L3和Mpls key进行匹配,我们可以通过非用户自定义的Acl和用户定义Acl进行过滤报文。非用户自定义是厂商提供给的,比如Isis协议报文通过目的Mac地址匹配,Ospf协议报文通过协议号匹配,只需要设置相对应的Mac地址或者协议号加入到Acl表项当中;用户自定义的需要根据报文偏移位置和偏移量来定义规则(用户自定义定义字段不多,一般是30个字节),比如Mpls的协议报文需要匹配标签,这里就需要用到用户自定义的几个字节定义标签匹配字段。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值