一个ACL中可以包含多个规则，而每个规则都指定不同的报文匹配选项。这样，在报文匹配时就会出现匹配顺序的问题。下面也分IPv4 ACL和IPv6 ACL两种进行介绍。

IPv4 ACL支持两种匹配顺序：

n         配置顺序：按照用户配置规则的先后顺序进行规则匹配。

n         自动排序：按照“深度优先”的顺序进行规则匹配。

基本IPv4 ACL的“深度优先”顺序判断原则如下：

（1） 先比较源IP地址范围，源IP地址范围小（反掩码中“0”位的数量多）的规则优先；

（2）如果源IP地址范围相同，则先配置的规则优先。

高级IPv4 ACL的“深度优先”顺序判断原则如下：

（1） 先看规则中是否带VPN实例，带VPN实例的规则优先；

（2）先比较协议范围，指定了IP协议承载的协议类型的规则优先；

（3）如果协议范围相同，则比较源IP地址范围，源IP地址范围小（反掩码中“0”位的数量多）的规则优先；

（4）如果协议范围、源IP地址范围相同，则比较目的IP地址范围，目的IP地址范围小（反掩码中“0”位的数量多）的规则优先；

（5）如果协议范围、源IP地址范围、目的IP地址范围相同，则比较四层端口号（TCP/UDP端口号）范围，四层端口号范围小的规则优先；

（6）如果上述范围都相同，则先配置的规则优先。

如果规则A与规则B的协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同，并且其它的参数个数也相同，将按照加权规则进行排序。交换机为每个参数设定一个固定的权值，最终的匹配顺序由各个参数的权值和参数的取值来决定。各个参数自身的权值从大到小排列为icmp-type、established、dscp、tos、precedence、fragment。比较规则如下：

n         交换机以一个固定权值依次减去规则中所配置的各个参数自身的权值，所得结果小的规则优先；

n         如果各个规则中参数种类完全相同，则这些参数取值的累加和小的规则优先。

二层ACL的“深度优先”顺序判断原则如下：

（1）先比较源MAC地址范围，源MAC地址范围小（掩码中“1”位的数量多）的规则优先；

（2）如果源MAC地址范围相同，则比较目的MAC地址范围，目的MAC地址范围小（掩码中“1”位的数量多）的规则优先；

（3）如果源MAC地址范围、目的MAC地址范围相同，则先配置的规则优先。

【说明】在S3600、S5510等早期系列中，用户自定义ACL的匹配顺序只能为配置顺序。但在自S5600及以上系列支持用户自定义ACL的交换机系列（如S5600、S7500、S9500等）中，匹配顺序也是可以自定义的，而不是固定的配置顺序。

 在报文匹配规则时，会按照匹配顺序去匹配定义的规则，一旦有一条规则被匹配，报文就不再继续匹配其它规则了，设备将对该报文执行第一次匹配的规则指定的动作。

2. IPv6 ACL规则匹配顺序

IPv6 ACL也支持两种匹配顺序：

n         配置顺序：按照用户配置规则的先后顺序进行规则匹配。

n         自动排序：按照“深度优先”的顺序进行规则匹配。

基本IPv6 ACL的“深度优先”顺序判断原则如下：

（1）先比较源IPv6地址范围，源IPv6地址范围小（前缀长）的规则优先；

（2）如果源IPv6地址范围相同，则先配置的规则优先。

高级IPv6 ACL的“深度优先”顺序判断原则如下：

（1） 先比较协议范围，指定了IPv6协议承载的协议类型的规则优先；

（2）如果协议范围相同，则比较源IPv6地址范围，源IPv6地址范围小（前缀长）的规则优先；

（3）如果协议范围、源IPv6地址范围相同，则比较目的IPv6地址范围，目的IPv6地址范围小（前缀长）的规则优先；

（4）如果协议范围、源IPv6地址范围、目的IPv6地址范围相同，则比较四层端口号（TCP/UDP端口号）范围，四层端口号范围小的规则优先；

（5）如果上述范围都相同，则先配置的规则优先。

在报文匹配规则时，会按照匹配顺序去匹配定义的规则，一旦有一条规则被匹配，报文就不再继续匹配其它规则了，设备将对该报文执行第一次匹配的规则指定的动作。

本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第十九章