IPv6 ACL (Access Control Lists)是交换机实现的一种根据IPv6三层及以上层信息进行数据包过滤的机制,通过允许或拒绝特定数据包进入网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。
用户可以于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定换机端口的入口,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进入交换。 IPv6 ACL可支持多条规则,仅对IPv6数据有效。我们的IPv6 ACL 的总体设计思想是这样地:首先判断是否开启firwall enable,如果没有开启firewall enable,那就直接转发数据包,不做任何处理。如果开启firewall enable,firewall default 为deny 的情况下:交换机某个端口接受到一个IPv6 数据包后,交换机分析该断口有无绑定IPv6 ACL,如果没有绑定IPv6 ACL,那么该数据包立刻被拒绝;如果有绑定IPv6 ACL,再查看与资源地址是否匹配?如果匹配,则执行相应的拒绝(丢弃该IPv6数据)和允许(会转发该IPv6数据),如果不匹配,则查看是否有多个条目;如果有,则进入下一个条目继续查看,直到找到相对应的地址为止,如果没有,那么则执行拒绝(丢弃该IPv6数据)。处理过程示意图如下图所示:
IPv6 ACL总体思想示意图(default为deny情况下)
如果firewall default为permit的情况的话,处理过程与上图类似,但是处理方式相反。
