访问控制列表配置规则总结

　　1、入站访问控制列表：将到来的分组路由到出站接口之前对其进行处理。因为如果根据过滤条件分组被丢弃，则无需查找路由选择表；如果分组被允许通过，则对其做路由选择方面的处理。

　　2、出站访问列表：到来的分组首先被路由到出站接口，并在将其传输出去之前根据出站访问列表对其进行处理。

　　3、任何访问列表都必须至少包含一条permit语句，否则将禁止任何数据流通过。

　　4、同一个访问列表被用于多个接口，然而，在每个接口的每个方向上，针对每种协议的访问列表只能有一个。

　　5、在每个接口的每个方向上，针对每种协议的访问列表只能有一个。同一个接口上可以有多个访问列表，但必须是针对不同协议的。

　　6、将具体的条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。

　　7、新添的语句总是被放在访问列表的末尾，但位于隐式deny语句的前面。

　　8、使用编号的访问列表时，不能有选择性的删除其中的语句；但使用名称访问列表时可以。

　　9、除非显式地在访问列表末尾添加一条permit any语句，否则默认情况下，访问列表将禁止所有不与任何访问列表条件匹配的数据流。

　　10、所有访问列表都必须至少有一条permit语句，否则所有数据流都将被禁止通过。

　　11、创建访问列表后再将其应用于接口，如果应用于接口的访问列表未定义或不存在，该接口将允许所有数据流通过。

　　12、访问列表只过滤经由当前路由器的数据流，而不能过滤当前路由器发送的数据流。

　　13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。

　　14、标准访问列表不能指定目标地址，应将其放在离目的地尽可能近的地方

【责编:Kittoy】