88E1548P MACSec使用-Ingress Pipe

對(duì)于每個(gè)報(bào)文，入路徑會(huì)執(zhí)行以下步驟:

1.解析數(shù)據(jù)包(提取DA、SA、VLAN、MACsec標(biāo)簽、報(bào)頭和以太類型)

2.根據(jù)以太網(wǎng)類型匹配表匹配以太網(wǎng)類型

3.查找包(在SCI+AN上匹配MACsec包，或在其他L2字段中匹配非MACsec包，在命中時(shí)返回上下文編號(hào))

4.解密數(shù)據(jù)包(使用合適的密鑰解密)

5.驗(yàn)證數(shù)據(jù)包(使用適當(dāng)?shù)纳⒘墟I來(lái)計(jì)算數(shù)據(jù)包上的ICV)

6.重寫(xiě)包(刪除MACsec標(biāo)簽，插入專有報(bào)頭)

7.檢查認(rèn)證(將數(shù)據(jù)包ICV與計(jì)算的ICV進(jìn)行比較，執(zhí)行重放檢查)

與出口管道類似，這些步驟由具有分離控制/數(shù)據(jù)路徑的管道實(shí)現(xiàn)，如圖46所示。這張圖顯示了三種類型的功能單元。引擎是管道中直接處理每個(gè)數(shù)據(jù)包的單元。引擎具有最小的配置，并且它們的配置信息由靜態(tài)值組成，例如Ethertypes。緩沖區(qū)用于吸收由各種引擎處理引入的延遲。表包含大多數(shù)控制信息和處理所需的所有動(dòng)態(tài)信息。

Ingress Look Up Table

入口查找表IngressLook Up Table是入口管道中數(shù)據(jù)包的決策點(diǎn)。該表類似于相應(yīng)的出口查找表，并且具有相同的字段和啟用位。除了這些字段之外，入口查找表還作為SCI、TCI和AN的條目，并使用單個(gè)enable位對(duì)這些字段執(zhí)行匹配。查找表還包含數(shù)據(jù)包TCI的8位掩碼，因此不需要檢查所有TCI。

由于MACsec數(shù)據(jù)包的主要查找方法是基于SCI，因此為每個(gè)MACsec數(shù)據(jù)包分配一個(gè)SCI以進(jìn)行查找是很重要的。對(duì)于SC=1的數(shù)據(jù)包，這很簡(jiǎn)單，因?yàn)?4位SCI包含在MACsec標(biāo)簽中。對(duì)于SC=0的數(shù)據(jù)包，解析器計(jì)算一個(gè)SCI值，并使用圖44所示的流程圖將該值發(fā)送到查找表。

查找表的輸出是一組動(dòng)作(刪除、認(rèn)證、重定向、插入頭，請(qǐng)參閱入口查找表動(dòng)作位)，以及一個(gè)上下文條目的索引，如果要對(duì)數(shù)據(jù)包進(jìn)行身份驗(yàn)證或解密，將使用該索引?！皠h除”操作與“驗(yàn)證”操作是互斥的;這兩個(gè)位不應(yīng)該設(shè)置為同一項(xiàng)。

如果一個(gè)查找表項(xiàng)設(shè)置了8個(gè)使能位中的任何一個(gè)，則該查找表項(xiàng)被認(rèn)為是“已啟用”的(參見(jiàn)入口查找表8位)。所有啟用位都位于查找表項(xiàng)的最高位，因此可以通過(guò)一次寫(xiě)操作啟用或禁用表項(xiàng)。要禁用某個(gè)表項(xiàng)，將所有使能位設(shè)置為0。

查找表還在查找之前驗(yàn)證MACsec報(bào)頭。參見(jiàn)章節(jié)3.2.7.3,MACsec報(bào)頭驗(yàn)證了解更多信息。

沒(méi)有MACsec頭的報(bào)文可以根據(jù)VLAN查找。如果存在802.1q標(biāo)記，則使用來(lái)自該標(biāo)記的VLAN，否則根據(jù)缺省VLAN值(cfg_default_vlan)查找數(shù)據(jù)包。

如果數(shù)據(jù)包不匹配Ethertype match表或查找表，則根據(jù)igr_gen的default_drop、def_redir和def_ins_hdr位采取默認(rèn)操作。

上電后自動(dòng)清除入口查找表。出口和入口查找表可以使用Slice reset_ctl寄存器的tbl_init位重新初始化。

審核編輯：劉清