docs/report/introduction/methodology_acls.rst

   1 Access Control Lists
   2 --------------------
   3
   4 VPP is tested in a number of data plane feature configurations across
   5 different forwarding modes. Following sections list features tested.
   6
   7 ACL Security-Groups
   8 ~~~~~~~~~~~~~~~~~~~
   9
  10 Both stateless and stateful access control lists (ACL), also known as
  11 security-groups, are supported by VPP.
  12
  13 Following ACL configurations are tested for MAC switching with L2
  14 bridge-domains:
  15
  16 - *l2bdbasemaclrn-iacl{E}sl-{F}flows*: Input stateless ACL, with {E}
  17   entries and {F} flows.
  18 - *l2bdbasemaclrn-oacl{E}sl-{F}flows*: Output stateless ACL, with {E}
  19   entries and {F} flows.
  20 - *l2bdbasemaclrn-iacl{E}sf-{F}flows*: Input stateful ACL, with {E}
  21   entries and {F} flows.
  22 - *l2bdbasemaclrn-oacl{E}sf-{F}flows*: Output stateful ACL, with {E}
  23   entries and {F} flows.
  24
  25 Following ACL configurations are tested with IPv4 routing:
  26
  27 - *ip4base-iacl{E}sl-{F}flows*: Input stateless ACL, with {E} entries
  28   and {F} flows.
  29 - *ip4base-oacl{E}sl-{F}flows*: Output stateless ACL, with {E} entries
  30   and {F} flows.
  31 - *ip4base-iacl{E}sf-{F}flows*: Input stateful ACL, with {E} entries and
  32   {F} flows.
  33 - *ip4base-oacl{E}sf-{F}flows*: Output stateful ACL, with {E} entries
  34   and {F} flows.
  35
  36 ACL tests are executed with the following combinations of ACL entries
  37 and number of flows:
  38
  39 - ACL entry definitions
  40
  41   - flow non-matching deny entry: (src-ip4, dst-ip4, src-port, dst-port).
  42   - flow matching permit ACL entry: (src-ip4, dst-ip4).
  43
  44 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50].
  45 - {F} - number of UDP flows with different tuple (src-ip4, dst-ip4,
  46   src-port, dst-port), {F} = [100, 10k, 100k].
  47 - All {E}x{F} combinations are tested per ACL type, total of 9.
  48
  49 ACL MAC-IP
  50 ~~~~~~~~~~
  51
  52 MAC-IP binding ACLs are tested for MAC switching with L2 bridge-domains:
  53
  54 - *l2bdbasemaclrn-macip-iacl{E}sl-{F}flows*: Input stateless ACL, with
  55   {E} entries and {F} flows.
  56
  57 MAC-IP ACL tests are executed with the following combinations of ACL
  58 entries and number of flows:
  59
  60 - ACL entry definitions
  61
  62   - flow non-matching deny entry: (dst-ip4, dst-mac, bit-mask)
  63   - flow matching permit ACL entry: (dst-ip4, dst-mac, bit-mask)
  64
  65 - {E} - number of non-matching deny ACL entries, {E} = [1, 10, 50]
  66 - {F} - number of UDP flows with different tuple (dst-ip4, dst-mac),
  67   {F} = [100, 10k, 100k]
  68 - All {E}x{F} combinations are tested per ACL type, total of 9.