ACL 及路由器上的路由和 ACL 过程

图中显示了路由和 ACL 过程的原理。 当数据包到达路由器接口时,无论是否使用 ACL,路由器过程都是相同的。 当帧进入接口时,路由器查看其第 2 层目的地址是否与其第 2 层接口地址匹配,或查看该帧是否是广播帧。

如果可以接受该帧地址,那么路由器将解封帧信息,并检查入站接口上的 ACL。 如果存在 ACL,则按照列表中的语句测试该数据包。

如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。 如果数据包被接受,将检查路由表条目来确定目的接口。 如果目标存在路由表条目,数据包将被转发到送出接口,否则数据包将被丢弃。

接下来,路由器检查出站接口是否具有 ACL。 如果存在 ACL,则按照列表中的语句测试该数据包。

如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。

如果没有 ACL 或数据包被允许,则将数据包封装在新的第 2 层协议中,并从相应接口转发到下一台设备。