执行过程
一个端口执行哪条 ACL, 这需要按照列表中的条件语句执行顺序来判断. 如果一个数据包的报头跟表中某个条件判断语句相匹配, 那么后面的语句就将被忽略, 不再进行检查.
数据包只有在跟第一个判断条件不匹配时, 它才被交给 ACL 中的下一个条件判断语句进行比较. 如果匹配 (假设为允许发送), 则不管是第一条还是最后一条语句, 数据都会立即发送到目的接口. 如果所有的 ACL 判断语句都检测完毕, 仍没有匹配的语句出口, 则该数据包将视为被拒绝而被丢弃. 这里要注意, ACL 不能对本路由器产生的数据包进行控制.
如果设备使用了 TCAM, 比如 aute U3052 交换机, 那么所有的 ACL 是并行执行的. 举例来说, 如果一个端口设定了多条 ACL 规则, 并不是逐条匹配, 而是一次执行所有 ACL 语句
来源: http://www.bubuko.com/infodetail-2737781.html