如果是分片数据包的后续分片（noninitial fragment），则只检查ACL 条目中的三层部分（协议号、源、目的）。如果三层匹配而且是permit 控制，则允许该分片通过；如果三层匹配而且是deny 控制，则继续检查下一个ACL条目（和正常的ACL 控制顺序不同）。

　　(3)当使用fragment 选项时,一个acl 条目将只对分片数据包的后续分片（noninitial fragment）进行控制；并且ACL条目中不能包含四层信息。

　　这里还是不好理解，说一下我的看法；

　　早期的IOS中，ACL中deny只拒绝匹配丢份的未分片和初始（第一个）分片，而对后续分片不拒绝。其实这个现在的IOS中已经会都拒绝掉了。

　　而加上fragment的话，这句ACL就只会对后续分片进行控制了。

　　早期的IOS中我们一般会写两句ACL，一句不带Fragment，一句带。

　　但现在的IOS中，一句不带fragment的ACL也可以deny掉后续分片。那么带fragment的ACL还有什么用呢？记住，带fragment的ACL只会对后续分

　　片进行控制！我们可以在这样一种情况下使用；如果不分片的话我就让你通过，但是你分片了我就不让你过！从而防止fragment攻击。

　　大致是这样吧，把带有四层信息的ACL和带Fragment的ACL结合在一起用效果会更好的！