Az 1. ábrán található példában az FTP-forgalom tiltott a 192.168.11.0 hálózatból a 192.168.10.0 hálózat felé, minden további forgalom engedélyezett. Figyeljük meg a helyettesítő maszkok használatát és a "permit any" utasítást! Emlékezzünk vissza, hogy az FTP a 20 és 21 TCP-portokat használja, ezért az ACL-ben szükség van az ftp és az ftp-data kulcsszavakra, vagy az eq 20 és az eq 21 paraméterekre az FTP tiltásához.
Ha portszámokat használunk portnevek helyett, a parancs a következőképpen fog kinézni:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
Annak megakadályozására, hogy az ACL végén levő implicit "deny any" utasítás minden forgalmat blokkoljon, a permit ip any any sor hozzáadása szükséges. Legalább egy permit utasításnak lennie kell az ACL-ben, különben az blokkolni fog minden forgalmat az interfészen. Az ACL-t a G0/1 interfészen bejövő irányban kell elhelyezni, hogy a 192.168.11.0/24 LAN-ból érkező forgalom már a belépéskor szűrésre kerüljön.
A 2. ábrán található példában a Telnet csomagok tiltottak bármely forrásból a 192.168.11.0/24 LAN felé, minden más IP-forgalom engedélyezett. Mivel a 192.168.11.0/24 LAN-ba tartó forgalom a G0/1 interfészen lép ki, az ACL-t itt kell elhelyezni az out kulcsszó használatával. Figyeljük meg az any kulcsszó alkalmazását a "permit" utasításban, amelynek hozzáadása biztosítja, hogy ne kerüljön tiltásra az összes forgalom.
MEGJEGYZÉS: Mindkét példában egy permit ip any any utasítás van az ACL végén. A nagyobb biztonság érdekében a permit ip 192.168.11.0 0.0.0.255 any parancs is használható.