執行過程
一個端口執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那麼後面的語句就將被忽略,不再進行檢查。數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設爲允許發送),則不管是第一條還是最後一條語句,數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數據包將視爲被拒絕而被丟棄。這裏要注意,ACL不能對本路由器產生的數據包進行控制。
如果設備使用了TCAM,比如aute U3052交換機,那麼所有的ACL是並行執行的。舉例來說,如果一個端口設定了多條ACL規則,並不是逐條匹配,而是一次執行所有ACL語句