2) L2 port 只能用in方向acl

3) two kinds traffic：ip/mac.

4) 三种过滤应用。
L3 port acl,this acl access-control traffic between vlans,and apply to L3 interface.
L2 port acl,this acl access-control traffic entering a l2 interface.
vlan acl,all traffic in the same vlan,(all packets,frame,不管是路由的还是桥接的).

5) in方向acl L3 acl(vlan acl)和mac acl相克。

6) dot1Q封装的ip报文不是被L3 acl过滤，而是mac acl过滤。

7) routed port /Svi /L3 PAgP port,both in&out.

8) ip fragmenet中仅第一个分片包含L4的信息(tcp/udp port,icmp type/code,etc.)

9) when软处理？log keyword in acl,icmp unreachable,hardware process overload very.

10) logging is not support for port acl (l2 port acl)

11) 防止tcam table滥用:更改SDM模板，使用out方向acl，多用隐含的permit/deny.

12) 3550上不支持的feature.
non-ip protocol acl
bridge-group acl
ip accounting
in/outbound rate-limit(qos acl除外)
ip header 小于5字节的，管不了~(算icmp参数错误)
reflexive acl
lock&key acl
二层口acl不支持log，或应用在出方向。本文出自 51CTO.COM技术博客