6506QACL工作原理.doc

6506 QACL工作原理及案例分析 6506的QACL工作比较特殊，配置起来有许多注意事项，随着6500系列产品在全球的展开，维护和技术支持任务会越来越重，有必要向广大用服兄弟解释芯片的工作原理，公布一些技术细节。 规则匹配过程 首先介绍一下6506采用的芯片的结构： PT表项（Packet Type Table）：用于设置报文的封装格式、以太网类型等； 其中几个常用的字段为： Encapsulation: 报文的封装类型，包括Ethernet II, IEEE 802.2/802.3 SNAP, Netware 802.3 Raw, IEEE 802.2/802.3; Ethernet type: 以太网类型，只对Ethernet II, IEEE 802.2/802.3 SNAP有效； Packet type ID: 如果所有字段匹配上后，就得到一个ID号，以与别的表项相区别； 表中除了ID字段的其他字段属于匹配字段，有相应Mask设置，如果Mask=0,则表示该字段是不关心的，即不参与比较/匹配过程。 ID字段的取值是由程序控制的，如果两个表项其他的字段完全相同，则他们的ID号就是相同的。 SrHG表项(Source Host Group Table):用于设置源二、三层信息，如源IP, 源Mac, 源端口等； DstHG表项(Destination Host Group Table):用于设置目的二、三层信息，如目的IP，目的Mac，目的端口等； SrHG表项与DstHG表项在CAM表中的表示是相同的，实际上是同一张表，当Source/Destination=0时，表示记录的是源信息，是SrHG表；当Source/Destination=1时，表示记录的是目的信息，是DstHG表。 其中几个常用的字段为： Entry type: 表项类型，有IP, IPX, L2, L3四个类型，其中L3没有用到；类型不同对其后各 字段的解释就不同。还有一点要格外注意：我们的qacl mode有L2/L3（Link/IP） 两种模式，type=L2只在L2 Mode下有效，type=IP/IPX只在L3 Mode下有效。 有时配置的规则不起作用，可能是Mode没有设置正确； IP Address: 报文的源或目的IP，只对type=IP有效； DiffServ/IP Precedence: IP优先级，DSCP； Physical Port Mask: 端口掩码，表示对从哪些端口进/出的报文，规则生效。我们配置IP 规则时，在多个端口下发，在底层只占用了一个SrHG表项，就是应为该字段 可以表示多个端口信息。这显然大大节约了表项资源； Vlan ID: 我们当前只支持入Vlan设置，且只能在Link规则才可配； Mac Address: 报文的源或目的Mac，只对type=L2有效； Physical Port: 物理端口号，表示对从哪些端口进/出的报文，规则生效。 Host Group ID: 如果所有字段匹配上后，就得到一个ID号，以与别的表项相区别； 表中除了ID字段的其他字段属于匹配字段，有相应Mask设置，如果Mask=0,则表示该字段是不关心的，即不参与比较/匹配过程。 ID字段的取值是由程序控制的，如果两个表项除去Port外其他的字段完全相同，则他们的ID号就是相同的。 SrL4表项(Source Layer 4 Table)：用于设置协议类型、TCP Flag、L4源端口号、Socket等； DstL4表项(Destination Layer 4 Table)：用于设置协议类型、TCP Flag、L4目的端口号、Socket等； SrL4表项与DstL4表项在CAM表中的表示是相同的，实际上是同一张表，当Source/Destination=0时，表示记录的是源信息，是SrL4表；当Source/Destination=1时，表示记录的是目的信息，是DstL4表。 其中几个常用的字段为： Type: 表项类型，有IP, IPX两个类型，类型不同对其后各字段的解释就不同。 L4 Protocol: 报文的Transport Layer协议号，如配置了Tcp规则，该字段=6； Port Number: TCP/UDP报文的端口号； L4 Layer Group ID: 如果所有字段匹配上后，就得到一个ID号，以与别的表项相区别； 表中除了ID字段的其他字段属于匹配字段，有相应Mask设置，如果Mask=0,则