docs/content/methodology/access_control_lists.md

   1 ---
   2 title: "Access Control Lists"
   3 weight: 12
   4 ---
   5
   6 # Access Control Lists
   7
   8 VPP is tested in a number of data plane feature configurations across
   9 different forwarding modes. Following sections list features tested.
  10
  11 ## ACL Security-Groups
  12
  13 Both stateless and stateful access control lists (ACL), also known as
  14 security-groups, are supported by VPP.
  15
  16 Following ACL configurations are tested for MAC switching with L2
  17 bridge-domains:
  18
  19 - *l2bdbasemaclrn-iacl{E}sl-{F}flows*: Input stateless ACL, with {E}
  20   entries and {F} flows.
  21 - *l2bdbasemaclrn-oacl{E}sl-{F}flows*: Output stateless ACL, with {E}
  22   entries and {F} flows.
  23 - *l2bdbasemaclrn-iacl{E}sf-{F}flows*: Input stateful ACL, with {E}
  24   entries and {F} flows.
  25 - *l2bdbasemaclrn-oacl{E}sf-{F}flows*: Output stateful ACL, with {E}
  26   entries and {F} flows.
  27
  28 Following ACL configurations are tested with IPv4 routing:
  29
  30 - *ip4base-iacl{E}sl-{F}flows*: Input stateless ACL, with {E} entries
  31   and {F} flows.
  32 - *ip4base-oacl{E}sl-{F}flows*: Output stateless ACL, with {E} entries
  33   and {F} flows.
  34 - *ip4base-iacl{E}sf-{F}flows*: Input stateful ACL, with {E} entries and
  35   {F} flows.
  36 - *ip4base-oacl{E}sf-{F}flows*: Output stateful ACL, with {E} entries
  37   and {F} flows.
  38
  39 ACL tests are executed with the following combinations of ACL entries
  40 and number of flows:
  41
  42 - ACL entry definitions
  43
  44   - flow non-matching deny entry: (src-ip4, dst-ip4, src-port, dst-port).
  45   - flow matching permit ACL entry: (src-ip4, dst-ip4).
  46
  47 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50].
  48 - {F} - number of UDP flows with different tuple (src-ip4, dst-ip4,
  49   src-port, dst-port), {F} = [100, 10k, 100k].
  50 - All {E}x{F} combinations are tested per ACL type, total of 9.
  51
  52 ## ACL MAC-IP
  53
  54 MAC-IP binding ACLs are tested for MAC switching with L2 bridge-domains:
  55
  56 - *l2bdbasemaclrn-macip-iacl{E}sl-{F}flows*: Input stateless ACL, with
  57   {E} entries and {F} flows.
  58
  59 MAC-IP ACL tests are executed with the following combinations of ACL
  60 entries and number of flows:
  61
  62 - ACL entry definitions
  63
  64   - flow non-matching deny entry: (dst-ip4, dst-mac, bit-mask)
  65   - flow matching permit ACL entry: (dst-ip4, dst-mac, bit-mask)
  66
  67 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50]
  68 - {F} - number of UDP flows with different tuple (dst-ip4, dst-mac),
  69   {F} = [100, 10k, 100k]
  70 - All {E}x{F} combinations are tested per ACL type, total of 9.