当流量传输到路由器时,会将流量以 ACL 中条目的顺序与所有 ACE 进行比较。 路由器会逐条比对 ACE,直到发现匹配条目。 路由器会根据发现的第一个匹配条目处理数据包,并且不再检查其他 ACE。

如果路由器在到达列表末尾时仍未找到匹配项,则会拒绝流量。 这是因为,默认情况下,对于与已配置条目不匹配的流量,所有 ACL 的末端都有一条隐含的 deny。 如果 ACL 中仅包含一个 deny 条目,则其效果与拒绝所有流量相同。 在 ACL 中必须至少配置一条 permit ACE,否则将阻止所有流量。

对于图中的网络,在 R1 S0/0/0 接口的出站方向上应用 ACL 1 或 ACL 2 将产生相同的效果。 允许 192.168.10.0 网络访问通过 S0/0/0 可到达的网络,同时拒绝 192.168.11.0 访问这些网络。