src/plugins/acl/lookup_context.c

   1 /*
   2  * Copyright (c) 2018 Cisco and/or its affiliates.
   3  * Licensed under the Apache License, Version 2.0 (the "License");
   4  * you may not use this file except in compliance with the License.
   5  * You may obtain a copy of the License at:
   6  *
   7  *     http://www.apache.org/licenses/LICENSE-2.0
   8  *
   9  * Unless required by applicable law or agreed to in writing, software
  10  * distributed under the License is distributed on an "AS IS" BASIS,
  11  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  12  * See the License for the specific language governing permissions and
  13  * limitations under the License.
  14  */
  15
  16 #include <plugins/acl/acl.h>
  17 #include <plugins/acl/fa_node.h>
  18 #include <plugins/acl/public_inlines.h>
  19 #include <vlib/unix/plugin.h>
  20 #include "hash_lookup.h"
  21 #include "elog_acl_trace.h"
  22
  23 /* check if a given ACL exists */
  24 u8 acl_plugin_acl_exists (u32 acl_index);
  25
  26 static u32 get_acl_user_id(acl_main_t *am, char *user_module_name, char *val1_label, char *val2_label)
  27 {
  28     acl_lookup_context_user_t *auser;
  29
  30     pool_foreach (auser, am->acl_users,
  31     ({
  32       if (0 == strcmp(auser->user_module_name, user_module_name)) {
  33         return (auser - am->acl_users);
  34       }
  35     }));
  36
  37     pool_get(am->acl_users, auser);
  38     auser->user_module_name = user_module_name;
  39     auser->val1_label = val1_label;
  40     auser->val2_label = val2_label;
  41     return (auser - am->acl_users);
  42 }
  43
  44 static int acl_user_id_valid(acl_main_t *am, u32 acl_user_id)
  45 {
  46
  47   if (pool_is_free_index (am->acl_users, acl_user_id))
  48     return 0;
  49
  50   return 1;
  51 }
  52
  53 static int acl_lc_index_valid(acl_main_t *am, u32 lc_index)
  54 {
  55
  56   if (pool_is_free_index (am->acl_lookup_contexts, lc_index))
  57     return 0;
  58
  59   return 1;
  60 }
  61
  62 /*
  63  * If you are using ACL plugin, get this unique ID first,
  64  * so you can identify yourself when creating the lookup contexts.
  65  */
  66
  67 u32 acl_plugin_register_user_module (char *user_module_name, char *val1_label, char *val2_label)
  68 {
  69   acl_main_t *am = &acl_main;
  70   u32 user_id = get_acl_user_id(am, user_module_name, val1_label, val2_label);
  71   return user_id;
  72 }
  73
  74 /*
  75  * Allocate a new lookup context index.
  76  * Supply the id assigned to your module during registration,
  77  * and two values of your choice identifying instances
  78  * of use within your module. They are useful for debugging.
  79  * If >= 0 - context id. If < 0 - error code.
  80  */
  81
  82 int acl_plugin_get_lookup_context_index (u32 acl_user_id, u32 val1, u32 val2)
  83 {
  84   acl_main_t *am = &acl_main;
  85   acl_lookup_context_t *acontext;
  86
  87   if (!acl_user_id_valid(am, acl_user_id))
  88     return VNET_API_ERROR_INVALID_REGISTRATION;
  89
  90   pool_get(am->acl_lookup_contexts, acontext);
  91   acontext->acl_indices = 0;
  92   acontext->context_user_id = acl_user_id;
  93   acontext->user_val1 = val1;
  94   acontext->user_val2 = val2;
  95
  96   u32 new_context_id = acontext - am->acl_lookup_contexts;
  97   vec_add1(am->acl_users[acl_user_id].lookup_contexts, new_context_id);
  98   return new_context_id;
  99 }
 100
 101 static void
 102 lock_acl(acl_main_t *am, u32 acl, u32 lc_index)
 103 {
 104   vec_validate(am->lc_index_vec_by_acl, acl);
 105   elog_acl_cond_trace_X2(am, (am->trace_acl), "lock acl %d in lc_index %d", "i4i4", acl, lc_index);
 106   vec_add1(am->lc_index_vec_by_acl[acl], lc_index);
 107 }
 108
 109 static void
 110 lock_acl_vec(u32 lc_index, u32 *acls)
 111 {
 112   int i;
 113   acl_main_t *am = &acl_main;
 114   for(i=0; i<vec_len(acls); i++) {
 115     lock_acl(am, acls[i], lc_index);
 116   }
 117 }
 118
 119 static void
 120 unlock_acl(acl_main_t *am, u32 acl, u32 lc_index)
 121 {
 122   vec_validate(am->lc_index_vec_by_acl, acl);
 123   elog_acl_cond_trace_X2(am, (am->trace_acl), "unlock acl %d in lc_index %d", "i4i4", acl, lc_index);
 124   u32 index = vec_search(am->lc_index_vec_by_acl[acl], lc_index);
 125   if (index != ~0)
 126     vec_del1(am->lc_index_vec_by_acl[acl], index);
 127   else
 128     clib_warning("BUG: can not unlock acl %d lc_index %d", acl, lc_index);
 129 }
 130
 131 static void
 132 unlock_acl_vec(u32 lc_index, u32 *acls)
 133 {
 134   int i;
 135   acl_main_t *am = &acl_main;
 136   for(i=0; i<vec_len(acls); i++)
 137   unlock_acl(am, acls[i], lc_index);
 138 }
 139
 140
 141 static void
 142 apply_acl_vec(u32 lc_index, u32 *acls)
 143 {
 144   int i;
 145   acl_main_t *am = &acl_main;
 146
 147   for(i=0; i<vec_len(acls); i++)
 148     hash_acl_apply(am, lc_index, acls[i], i);
 149 }
 150
 151
 152 static void
 153 unapply_acl_vec(u32 lc_index, u32 *acls)
 154 {
 155   int i;
 156   acl_main_t *am = &acl_main;
 157   if (vec_len(acls) == 0)
 158     return;
 159   for(i=vec_len(acls); i > 0; i--)
 160     hash_acl_unapply(am, lc_index, acls[i-1]);
 161 }
 162
 163 /*
 164  * Release the lookup context index and destroy
 165  * any asssociated data structures.
 166  */
 167 void acl_plugin_put_lookup_context_index (u32 lc_index)
 168 {
 169   acl_main_t *am = &acl_main;
 170   elog_acl_cond_trace_X1(am, (am->trace_acl), "LOOKUP-CONTEXT: put-context lc_index %d", "i4", lc_index);
 171   if (!acl_lc_index_valid(am, lc_index)) {
 172     clib_warning("BUG: lc_index %d is not valid", lc_index);
 173     return;
 174   }
 175   acl_lookup_context_t *acontext = pool_elt_at_index(am->acl_lookup_contexts, lc_index);
 176
 177   u32 index = vec_search(am->acl_users[acontext->context_user_id].lookup_contexts, lc_index);
 178   ASSERT(index != ~0);
 179
 180   vec_del1(am->acl_users[acontext->context_user_id].lookup_contexts, index);
 181   unapply_acl_vec(lc_index, acontext->acl_indices);
 182   unlock_acl_vec(lc_index, acontext->acl_indices);
 183   vec_free(acontext->acl_indices);
 184   pool_put(am->acl_lookup_contexts, acontext);
 185 }
 186
 187 /*
 188  * Prepare the sequential vector of ACL#s to lookup within a given context.
 189  * Any existing list will be overwritten. acl_list is a vector.
 190  */
 191 int acl_plugin_set_acl_vec_for_context (u32 lc_index, u32 *acl_list)
 192 {
 193   acl_main_t *am = &acl_main;
 194   acl_lookup_context_t *acontext;
 195   if (am->trace_acl) {
 196     u32 i;
 197     elog_acl_cond_trace_X1(am, (1), "LOOKUP-CONTEXT: set-acl-list lc_index %d", "i4", lc_index);
 198     for(i=0; i<vec_len(acl_list); i++) {
 199       elog_acl_cond_trace_X2(am, (1), "   acl-list[%d]: %d", "i4i4", i, acl_list[i]);
 200     }
 201   }
 202   if (!acl_lc_index_valid(am, lc_index)) {
 203     clib_warning("BUG: lc_index %d is not valid", lc_index);
 204     return -1;
 205   }
 206   acontext = pool_elt_at_index(am->acl_lookup_contexts, lc_index);
 207   u32 *old_acl_vector = acontext->acl_indices;
 208   acontext->acl_indices = vec_dup(acl_list);
 209
 210   unapply_acl_vec(lc_index, old_acl_vector);
 211   unlock_acl_vec(lc_index, old_acl_vector);
 212   lock_acl_vec(lc_index, acontext->acl_indices);
 213   apply_acl_vec(lc_index, acontext->acl_indices);
 214
 215   vec_free(old_acl_vector);
 216   return 0;
 217 }
 218
 219
 220 void acl_plugin_lookup_context_notify_acl_change(u32 acl_num)
 221 {
 222   acl_main_t *am = &acl_main;
 223   if (acl_plugin_acl_exists(acl_num)) {
 224     if (hash_acl_exists(am, acl_num)) {
 225         /* this is a modification, clean up the older entries */
 226         hash_acl_delete(am, acl_num);
 227     }
 228     hash_acl_add(am, acl_num);
 229   } else {
 230     /* this is a deletion notification */
 231     hash_acl_delete(am, acl_num);
 232   }
 233 }
 234
 235
 236 /* Fill the 5-tuple from the packet */
 237
 238 void acl_plugin_fill_5tuple (u32 lc_index, vlib_buffer_t * b0, int is_ip6, int is_input,
 239                                 int is_l2_path, fa_5tuple_opaque_t * p5tuple_pkt)
 240 {
 241   acl_plugin_fill_5tuple_inline(lc_index, b0, is_ip6, is_input, is_l2_path, p5tuple_pkt);
 242 }
 243
 244 int acl_plugin_match_5tuple (u32 lc_index,
 245                                            fa_5tuple_opaque_t * pkt_5tuple,
 246                                            int is_ip6, u8 * r_action,
 247                                            u32 * r_acl_pos_p,
 248                                            u32 * r_acl_match_p,
 249                                            u32 * r_rule_match_p,
 250                                            u32 * trace_bitmap)
 251 {
 252   return acl_plugin_match_5tuple_inline (lc_index, pkt_5tuple, is_ip6, r_action, r_acl_pos_p, r_acl_match_p, r_rule_match_p, trace_bitmap);
 253 }
 254
 255
 256 void
 257 acl_plugin_show_lookup_user (u32 user_index)
 258 {
 259     acl_main_t *am = &acl_main;
 260     vlib_main_t *vm = am->vlib_main;
 261     acl_lookup_context_user_t *auser;
 262
 263     pool_foreach (auser, am->acl_users,
 264     ({
 265       u32 curr_user_index = (auser - am->acl_users);
 266       if (user_index == ~0 || (curr_user_index == user_index)) {
 267         vlib_cli_output (vm, "index %d:%s:%s:%s", curr_user_index, auser->user_module_name, auser->val1_label, auser->val2_label);
 268       }
 269     }));
 270 }
 271
 272
 273 void
 274 acl_plugin_show_lookup_context (u32 lc_index)
 275 {
 276   acl_main_t *am = &acl_main;
 277   vlib_main_t *vm = am->vlib_main;
 278   acl_lookup_context_t *acontext;
 279   // clib_warning("LOOKUP-CONTEXT: lc_index %d acl_list [ %U ]", lc_index, format_vec32, acl_list, "%d");
 280   if (!am->acl_lookup_contexts)
 281   {
 282     vlib_cli_output(vm, "ACL lookup contexts are not initialized");
 283     return;
 284   }
 285
 286   pool_foreach (acontext, am->acl_lookup_contexts,
 287   ({
 288     u32 curr_lc_index = (acontext - am->acl_lookup_contexts);
 289     if ((lc_index == ~0) || (curr_lc_index == lc_index)) {
 290       if (acl_user_id_valid(am, acontext->context_user_id)) {
 291         acl_lookup_context_user_t *auser = pool_elt_at_index(am->acl_users, acontext->context_user_id);
 292         vlib_cli_output (vm, "index %d:%s %s: %d %s: %d, acl_indices: %U",
 293                        curr_lc_index, auser->user_module_name, auser->val1_label,
 294                        acontext->user_val1, auser->val2_label, acontext->user_val2,
 295                        format_vec32, acontext->acl_indices, "%d");
 296       } else {
 297         vlib_cli_output (vm, "index %d: user_id: %d user_val1: %d user_val2: %d, acl_indices: %U",
 298                        curr_lc_index, acontext->context_user_id,
 299                        acontext->user_val1, acontext->user_val2,
 300                        format_vec32, acontext->acl_indices, "%d");
 301       }
 302     }
 303   }));
 304 }