總結 之 訪問控制列表規則14條

　 

         一、入站訪問控制列表：將到來的分組路由到出站接口以前對其進行處理。由於若是根據過濾條件分組被丟棄，則無需查找路由選擇表；若是分組被容許經過，則對其作路由選擇方面的處理。

 

　　二、出站訪問列表：到來的分組首先被路由到出站接口，並在將其傳輸出去以前根據出站訪問列表對其進行處理。

 

　　三、任何訪問列表都必須至少包含一條permit語句，不然將禁止任何數據流經過。

 

　　四、同一個訪問列表被用於多個接口，然而，在每一個接口的每一個方向上，針對每種協議的訪問列表只能有一個。

 

　　五、在每一個接口的每一個方向上，針對每種協議的訪問列表只能有一個。同一個接口上能夠有多個訪問列表，但必須是針對不一樣協議的。

 

　　六、將具體的條件放在通常性條件的前面；將常發生的條件放在不常發生的條件前面。

 

　　七、新添的語句老是被放在訪問列表的末尾，但位於隱式deny語句的前面。

 

　　八、使用編號的訪問列表時，不能有選擇性的刪除其中的語句；但使用名稱訪問列表時能夠。

 

　　九、除非顯式地在訪問列表末尾添加一條permit any語句，不然默認狀況下，訪問列表將禁止全部不與任何訪問列表條件匹配的數據流。

 

　　十、全部訪問列表都必須至少有一條permit語句，不然全部數據流都將被禁止經過。

 

　　十一、建立訪問列表後再將其應用於接口，若是應用於接口的訪問列表未定義或不存在，該接口將容許全部數據流經過。

 

　　十二、訪問列表只過濾經由當前路由器的數據流，而不能過濾當前路由器發送的數據流。

 

　　1三、應將擴展訪問列表放在離禁止經過的數據流源儘量近的地方。

 

　　1四、標準訪問列表不能指定目標地址，應將其放在離目的地儘量近的地方。