每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

　　每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。

　　每个接口一个 ACL ：一个 ACL 只能控制一个接口上的流量。

　　ACL定义规范

　　ACL的列表号指出了是哪种的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。

　　一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。

　　ACL中的通配符，也称作反掩码，它是将原子网的掩码0变成1，1变成0，0为绝对匹配，而1为表示任意，通过这样用来进行地址块匹配的。反掩码可以通过使用255.255.255.255减去正常的子网掩码得到，当相减为0.0.0.0时表示一台主机;例如对于单一网段10.10.10.0/24的反掩码等于255.255.255.255-255.255.255.0=0.0.0.25;对于连续的网段可以先进行汇总再相减，例如192.168.32.0/24、192.168.33.0/24、192.168.34.0/24，此时汇总的网段为192.168.32.0/22，即255.255.255.255-255.255.252.0=0.0.3.255;另外192.168.32.0/24的ACL反转掩码写成0.0.0.254表示过滤网络中的所有偶数地址，如果192.168.34.1/24的ACL返掩码写成0.0.0.254即表示网络中的奇数地址。如果是网段内的特定连续的几台主机如192.168.1.17/24、192.168.1.18/24、192.168.1.19/24即反掩码为192.168.1.17 0.0.0.3.

　　ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。

　　最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。

　　对于标准或扩展ACL中新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。

　　在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。

　　标准和扩展的ACL语句不能被逐条的删除，只能一次性删除整个ACL。命名式ACL可以

　　在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。

　　ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。

　　在路由器选择进行以前，应用在接口进入方向的ACL起作用。

　　在路由器选择决定以后，应用在接口离开方向的ACL起作用。

　　更多资讯，请访问郑州网络工程师培训机构