IPv6 ACL (Access Control Lists)是交換機(jī)實(shí)現(xiàn)的一種根據(jù)IPv6三層及以上層信息進(jìn)行數(shù)據(jù)包過(guò)濾的機(jī)制，通過(guò)允許或拒絕特定數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，交換機(jī)可以對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。

用戶可以于報(bào)文中的特定信息制定一組規(guī)則（rule），每條規(guī)則都描述了對(duì)匹配一定信息的數(shù)據(jù)包采取的動(dòng)作：允許通過(guò)（permit）或拒絕通過(guò)（deny）。用戶可以把這些規(guī)則應(yīng)用到特定換機(jī)端口的入口，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進(jìn)入交換。 IPv6 ACL可支持多條規(guī)則，僅對(duì)IPv6數(shù)據(jù)有效。我們的IPv6 ACL 的總體設(shè)計(jì)思想是這樣地:首先判斷是否開(kāi)啟firwall enable，如果沒(méi)有開(kāi)啟firewall enable，那就直接轉(zhuǎn)發(fā)數(shù)據(jù)包，不做任何處理。如果開(kāi)啟firewall enable，firewall default 為deny 的情況下：交換機(jī)某個(gè)端口接受到一個(gè)IPv6 數(shù)據(jù)包后，交換機(jī)分析該斷口有無(wú)綁定IPv6 ACL，如果沒(méi)有綁定IPv6 ACL，那么該數(shù)據(jù)包立刻被拒絕；如果有綁定IPv6 ACL，再查看與資源地址是否匹配？如果匹配，則執(zhí)行相應(yīng)的拒絕(丟棄該IPv6數(shù)據(jù))和允許(會(huì)轉(zhuǎn)發(fā)該IPv6數(shù)據(jù))，如果不匹配，則查看是否有多個(gè)條目；如果有，則進(jìn)入下一個(gè)條目繼續(xù)查看，直到找到相對(duì)應(yīng)的地址為止，如果沒(méi)有，那么則執(zhí)行拒絕(丟棄該IPv6數(shù)據(jù))。處理過(guò)程示意圖如下圖所示：

IPv6 ACL總體思想示意圖(default為deny情況下)

如果firewall default為permit的情況的話，處理過(guò)程與上圖類(lèi)似，但是處理方式相反。