ACL 的编写可能会相当复杂。 对于每个接口,可能需要使用多条策略来管理允许进入或退出此接口的流量类型。 图中的路由器为 IPv4 和 IPv6 配置了两个接口。 如果两种协议在两个接口上和在两个方向上都需要 ACL,则我们需要八个不同的 ACL。 每个接口将使用四个 ACL;两个是 IPv4 ACL,另外两个是 IPv6 ACL。 对于每种协议,一个 ACL 用于入站流量,另一个用于出站流量。

注意:不必在两个方向上都配置 ACL。 应用于接口的 ACL 编号及其方向将取决于所实施的要求。

下面是一些使用 ACL 的指导原则:

三 P 原则

记住三 P 原则,您便记住了在路由器上应用 ACL 的一般规则。 您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL: