Egy normál ACL csak a forráscím alapján képes a forgalomszűrésre. Alapvető szabály a normál ACL elhelyezésére, hogy tegyük azt a lehető legközelebb a célhálózathoz. Így a forgalom eljut minden hálózatba, kivéve azt, ahol a csomagok szűrése történik.
Az ábrán a rendszergazda gátolni szeretné a 192.168.10.0/24 hálózatból a 192.168.30.0/24 hálózat elérését.
Ha a normál ACL-t az R1 kimenő interfészére helyezi, akkor megakadályozza a 192.168.10.0/24 hálózatból minden olyan hálózat elérését, amely az R1 Serial 0/0/0 interfészén keresztül érhető el.
Követve a normál ACL-nek a célhoz legközelebb való elhelyezésére vonatkozó alapvető irányevet, az ábrán két lehetőség kínálkozik a normál ACL alkalmazására:
- R3 S0/0/1 interfész - A 192.168.10.0/24 hálózatból érkező forgalmat letiltó ACL elhelyezése a bejövő S0/0/1 interfészen meg fogja akadályozni a 192.168.30.0/24 hálózat elérését, de egyúttal az összes többiét is, melyek az R3-on keresztül érhetők el. Ebbe beleértendő a 192.168.31.0/24 hálózat is. Mivel az ACL célja csak a 192.168.30.0/24 hálózatba tartó forgalom szűrése, így az nem használható ezen az interfészen.
- R3 G0/0 interfész - A normál ACL alkalmazása a G0/0 interfészt elhagyó forgalomra ki fogja szűrni a 192.168.10.0/24-ból 192.168.30.0/24-ba tartó csomagokat. Az R3-ról elérhető más hálózatokra nem lesz hatással, a 192.16810.0/24-ból érkező csomagok eljutnak a 192.168.31.0/24 hálózatba.