在接受和处理标准 ACE 时,Cisco IOS 将应用内部逻辑。 如前所述,对 ACE 会进行依次处理。 因此,ACE 的输入顺序非常重要。

例如,在图 1 中,ACL 3 包含两个 ACE。 第一个 ACE 使用通配符掩码来拒绝某一范围内的地址,此范围包括 192.168.10.0/24 网络中的所有主机。 第二个 ACE 是一条 host 语句,用于检查特定主机:192.168.10.10。 这是上一语句中配置的主机范围内的一个主机。 也就是说,192.168.10.10 是 192.168.10.0/24 网络中的一个主机。 标准访问列表的 IOS 内部逻辑将拒绝第二条语句并返回错误消息,因为它是上一语句的子集。 注意,在图中,路由器将为本示例中输入的第一条语句分配的序列号指定为 sequence num 10。 路由器输出中包括这一消息(其规则为“part of the existing rule at sequence num 10”),并拒绝此语句。

注意:目前扩展 ACL 不会发生类似错误。

图 2 中 ACL 4 的配置使用相同的两条语句,但顺序相反。 这是一个有效的语句顺序,因为第一条语句针对的是特定主机,而不是一组主机。

在图 3 中,ACL 5 显示可在指向一组主机的语句后面配置 host 语句。 该主机必须在上一语句所涉及的范围之外。 192.168.11.10 主机地址不属于 192.168.10.0/24 网络,因此这是一个有效语句。

注意:标准 ACE 的输入顺序可能不是路由器对其进行存储、显示和处理的顺序。 这将在后续部分讨论。