向 ACL 添加条目 (ACE) 会将相应条目添加到 TCAM 表中，该条目应用于通过配置的端口或 VLAN 的帧/数据包。

三元 CAM 不需要像简单 CAM 那样完全匹配。相反，可以将通配符位设置为屏蔽/忽略。你ip access-list extended tcp deny host 1.2.3.4 any eq http会翻译成一些东西（左边的 TCAM hex，右边的可读形式）

value    mask     
0800     0000      Ethertype=IPv4
4        0         IP version=4/0
01020304 00000000  IP source address=1.2.3.4/0.0.0.0
00000000 FFFFFFFF  IP destination address=0.0.0.0/255.255.255.255 (any)
06       00        L4 protocol=6/0 (TCP)
0000     FFFF      L4 source port=0/65535 (any)
0080     0000      L4 destination port=80/0

/ 表示通配符位 -0表示完全匹配，255或者65535“255.255.255.255”表示“对于字节或 16 位或 32 位值根本不重要”。192.168.0.0/0.0.0.255TCAM 还可以对 192.168.0.0/24 子网等地址进行部分匹配。

在交换机中，每个数据包同时呈现给一个 ACL 的所有 TCAM 存储的 ACE。第一个匹配的 ACE 将其动作作为结果（允许/拒绝）并执行该动作。deny any any由于ACL 末尾有一个隐式，所以总是有一个匹配项。

不检查L4（此处为 TCP）有效负载，仅检查标头。