IPv6 ACL技术工作流程浅析

IPv6 ACL (Access Control Lists)是交换机实现的一种根据IPv6三层及以上层信息进行数据包过滤的机制，通过允许或拒绝特定数据包进入网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。

用户可以于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定换机端口的入口，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进入交换。 IPv6 ACL可支持多条规则，仅对IPv6数据有效。我们的IPv6 ACL 的总体设计思想是这样地:首先判断是否开启firwall enable，如果没有开启firewall enable，那就直接转发数据包，不做任何处理。如果开启firewall enable，firewall default 为deny 的情况下：交换机某个端口接受到一个IPv6 数据包后，交换机分析该断口有无绑定IPv6 ACL，如果没有绑定IPv6 ACL，那么该数据包立刻被拒绝；如果有绑定IPv6 ACL，再查看与资源地址是否匹配？如果匹配，则执行相应的拒绝(丢弃该IPv6数据)和允许(会转发该IPv6数据)，如果不匹配，则查看是否有多个条目；如果有，则进入下一个条目继续查看，直到找到相对应的地址为止，如果没有，那么则执行拒绝(丢弃该IPv6数据)。处理过程示意图如下图所示：

IPv6 ACL总体思想示意图(default为deny情况下)

如果firewall default为permit的情况的话，处理过程与上图类似，但是处理方式相反。