IPv6 ACL (Access Control Lists)是交換機實現(xiàn)的一種根據(jù)IPv6三層及以上層信息進(jìn)行數(shù)據(jù)包過濾的機制，通過允許或拒絕特定數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，交換機可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運行。

用戶可以于報文中的特定信息制定一組規(guī)則（rule），每條規(guī)則都描述了對匹配一定信息的數(shù)據(jù)包采取的動作：允許通過（permit）或拒絕通過（deny）。用戶可以把這些規(guī)則應(yīng)用到特定換機端口的入口，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進(jìn)入交換。 IPv6 ACL可支持多條規(guī)則，僅對IPv6數(shù)據(jù)有效。我們的IPv6 ACL 的總體設(shè)計思想是這樣地:首先判斷是否開啟firwall enable，如果沒有開啟firewall enable，那就直接轉(zhuǎn)發(fā)數(shù)據(jù)包，不做任何處理。如果開啟firewall enable，firewall default 為deny 的情況下：交換機某個端口接受到一個IPv6 數(shù)據(jù)包后，交換機分析該斷口有無綁定IPv6 ACL，如果沒有綁定IPv6 ACL，那么該數(shù)據(jù)包立刻被拒絕；如果有綁定IPv6 ACL，再查看與資源地址是否匹配？如果匹配，則執(zhí)行相應(yīng)的拒絕(丟棄該IPv6數(shù)據(jù))和允許(會轉(zhuǎn)發(fā)該IPv6數(shù)據(jù))，如果不匹配，則查看是否有多個條目；如果有，則進(jìn)入下一個條目繼續(xù)查看，直到找到相對應(yīng)的地址為止，如果沒有，那么則執(zhí)行拒絕(丟棄該IPv6數(shù)據(jù))。處理過程示意圖如下圖所示：

IPv6 ACL總體思想示意圖(default為deny情況下)

如果firewall default為permit的情況的話，處理過程與上圖類似，但是處理方式相反。