docs/content/methodology/access_control_lists.md

   1 ---
   2 bookToc: false
   3 title: "Access Control Lists"
   4 weight: 12
   5 ---
   6
   7 # Access Control Lists
   8
   9 VPP is tested in a number of data plane feature configurations across
  10 different forwarding modes. Following sections list features tested.
  11
  12 ## ACL Security-Groups
  13
  14 Both stateless and stateful access control lists (ACL), also known as
  15 security-groups, are supported by VPP.
  16
  17 Following ACL configurations are tested for MAC switching with L2
  18 bridge-domains:
  19
  20 - *l2bdbasemaclrn-iacl{E}sl-{F}flows*: Input stateless ACL, with {E}
  21   entries and {F} flows.
  22 - *l2bdbasemaclrn-oacl{E}sl-{F}flows*: Output stateless ACL, with {E}
  23   entries and {F} flows.
  24 - *l2bdbasemaclrn-iacl{E}sf-{F}flows*: Input stateful ACL, with {E}
  25   entries and {F} flows.
  26 - *l2bdbasemaclrn-oacl{E}sf-{F}flows*: Output stateful ACL, with {E}
  27   entries and {F} flows.
  28
  29 Following ACL configurations are tested with IPv4 routing:
  30
  31 - *ip4base-iacl{E}sl-{F}flows*: Input stateless ACL, with {E} entries
  32   and {F} flows.
  33 - *ip4base-oacl{E}sl-{F}flows*: Output stateless ACL, with {E} entries
  34   and {F} flows.
  35 - *ip4base-iacl{E}sf-{F}flows*: Input stateful ACL, with {E} entries and
  36   {F} flows.
  37 - *ip4base-oacl{E}sf-{F}flows*: Output stateful ACL, with {E} entries
  38   and {F} flows.
  39
  40 ACL tests are executed with the following combinations of ACL entries
  41 and number of flows:
  42
  43 - ACL entry definitions
  44
  45   - flow non-matching deny entry: (src-ip4, dst-ip4, src-port, dst-port).
  46   - flow matching permit ACL entry: (src-ip4, dst-ip4).
  47
  48 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50].
  49 - {F} - number of UDP flows with different tuple (src-ip4, dst-ip4,
  50   src-port, dst-port), {F} = [100, 10k, 100k].
  51 - All {E}x{F} combinations are tested per ACL type, total of 9.
  52
  53 ## ACL MAC-IP
  54
  55 MAC-IP binding ACLs are tested for MAC switching with L2 bridge-domains:
  56
  57 - *l2bdbasemaclrn-macip-iacl{E}sl-{F}flows*: Input stateless ACL, with
  58   {E} entries and {F} flows.
  59
  60 MAC-IP ACL tests are executed with the following combinations of ACL
  61 entries and number of flows:
  62
  63 - ACL entry definitions
  64
  65   - flow non-matching deny entry: (dst-ip4, dst-mac, bit-mask)
  66   - flow matching permit ACL entry: (dst-ip4, dst-mac, bit-mask)
  67
  68 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50]
  69 - {F} - number of UDP flows with different tuple (dst-ip4, dst-mac),
  70   {F} = [100, 10k, 100k]
  71 - All {E}x{F} combinations are tested per ACL type, total of 9.