1） 最後一條隱藏規則是deny ip any any，與ACL相同。

2） VACL沒有inbound和outbound之分，區別於ACL.

3） 若ACL列表中是permit，而VACL中為drop，則資料流執行drop.

4） VACL規則應用在NAT之前。

5） 一個VACL可以用於多個VLAN中；但一個VLAN只能與一個VACL關聯。

6） VACL只有在VLAN的埠被啟用後才會啟用，否則狀態為inactive.下面使用Cisco3560交換機作為實驗來詳細的說明上面的陳述網路基本情況是劃分了三個vlan：vlan10、vlan20和vlan30，vlan虛埠的IP地址分別為192.168.10.1/24、192.168.20.1/24和192.168.30.1/24.訪問控制要求：vlan10和vlan20之間不能訪問，但都能訪問vlan30.（1）透過vlan之間ACL實現interface Vlan10ip address 192.168.10.1 255.255.255.0ip access-group 101 in!interface Vlan20ip address 192.168.20.1 255.255.255.0ip access-group 102 in! interface Vlan30ip address 192.168.30.1 255.255.255.0!ip classlessip http server!access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255（2）透過VACL實現access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255access-list 103 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 104 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255access-list 104 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255vlan access-map test1action forwardmatch ip address 103vlan access-map test2action forwardmatch ip address 104vlan filter test1 vlan-list 10vlan filter test2 vlan-list 20