Las reglas que utilizan la palabra clave match no impactan al tráfico que se permite, bloquea o rechaza. En su lugar sirve para realizar otras acciones. Pensemos en una ACL por ejemplo, no siempre tienen por que utilizarse en filtrado de tráfico en un access-group o access-class. También se pueden usar en prefix-lists , route-maps , u otras.

match in on genet0 tag DMZ
pass out on genet1 tagged DMZ

O para encolar.

match in on genet1 to 192.168.1.0/24 port ssh queue ssh

O normalizar.

match in all scrub (no-df max-mss 1440)