ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。 ACL 对路由器自身产生的数据包不起作用。 1)入站 ACL - 传入数据包经过处理之后才会被路由到出站接口。 入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查找的开销。 当测试表明应允许该数据包后,路由器才会处理路由工作。 当与入站接口连接的网络是需要检测的数据包的唯一来源时,最适合使用入站 ACL 过滤数据包。 2)出站 ACL - 传入数据包路由到出站接口后,由出站 ACL 进行处理。 在来自多个入站接口的数据包通过同一出站接口之前,对数据包应用相同过滤器时,最适合使用出站 ACL。 ACL 的最后一条语句都是隐式拒绝语句。 每个 ACL 的末尾都会自动插入隐含的 deny 语句,尽管实际上 ACL 中并不显示该语句。 隐式 deny 语句会阻止所有流量。 由于具有隐式 deny 语句,一条 permit 语句也没有的 ACL 会阻止所有流量。