A forgalomirányító alapértelmezés szerint nem szűri a csomagokat, azok kizárólag az útválasztó tábla információi alapján kerülnek irányításra.
A hálózati hozzáférés szabályozása céljából a csomagszűrés elemzi a bejövő és kimenő forgalmat, és továbbítja vagy eldobja azt bizonyos feltételek alapján, mint például a forrás IP-cím, a cél IP-cím, és a csomag által hordozott protokoll. A csomagszűrő forgalomirányító szabályokat használ a forgalom engedélyezésének vagy tiltásának meghatározására, továbbá képes a szállítási rétegbeli szűrésre is.
Egy ACL engedélyező és tiltó utasítások sorozata, amelynek utolsó eleme mindig egy, az összes forgalmat blokkoló implicit tiltás. Annak megakadályozására, hogy az ACL végén lévő beépített "deny any" blokkoljon minden forgalmat, legalább egy permit utasításnak szerepelni kell a hozzáférési listában.
Amikor a hálózati forgalom keresztülhalad egy ACL-lel konfigurált interfészen, a forgalomirányító összeveti a csomagban található információt a listabejegyzésekkel, és azokon sorrendben végighaladva egyezést keres. Ha talál, feldolgozza a csomagot az utasításban foglaltaknak megfelelően.
A konfigurált ACL-ek alkalmazhatók mind a bejövő, mind a kimenő forgalom szűrésére.
A normál ACL-ek csak a forrás IPv4-címet használják a forgalom engedélyezésére vagy tiltására. A célcím és a csomagba ágyazott portszám nem kerül kiértékelésre. A normál ACL-ek alapszabálya, hogy helyezzük őket a célhoz lehető legközelebb.
A kiterjesztett ACL-ek többféle jellemző alapján szűrik a csomagokat: forrás- és cél IPv4-cím, forrás- és célport. A kiterjesztett ACL-ek alapszabálya, hogy helyezzük őket a forráshoz lehető legközelebb.
Az access-list globális konfigurációs paranccsal definiálható normál ACL 1-től 99-ig, vagy kiterjesztett ACL 100-199 és 2000-2699 számozással. A normál és a kiterjesztett ACL-ek lehetnek nevesítettek is. Az ip access-list standard név paranccsal hozható létre nevesített normál ACL, míg a ip access-list extended név utasítással a kiterjesztett ACL. Az IPv4 hozzáférési lista bejegyzések (ACE) helyettesítő maszkokat tartalmaznak.
Konfigurálás után az ACL elhelyezésre kerül egy interfészen az ip access-group paranccsal interfész konfigurációs módban. Emlékezzünk vissza a három P szabályra: egy ACL per protokoll, per irány, per interfész!
Egy ACL eltávolításához először használjuk a no ip access-group parancsot az interfészen, majd alkalmazzuk a no access-list globális utasítást a teljes ACL törléséhez.
A show running-config és a show access-lists parancsokkal ellenőrizhető az ACL-konfiguráció. A show ip interface parancs pedig megmutatja, hogy melyik ACL van az interfészen és az milyen irányban szűr.
Az access-class vonali konfigurációs parancs a hozzáférési listában levő címekre korlátozza a bejövő és kimenő VTY-kapcsolatokat.
Hasonlóan az IPv4 nevesített ACL-ekhez, az IPv6 hozzáférési listák nevei is alfanumerikus karakterekből állnak, nagybetűérzékenyek és egyediek. Az IPv4-gyel ellentétben, itt nincs szükség a "standard" vagy "extended" beállítás használatára.
Globális konfigurációs módban az ipv6 access-list név paranccsal hozható létre egy IPv6 ACL. Az IPv4 ACL-ektől eltérően, az IPv6 ACL-ek nem használnak helyettesítő maszkokat. Helyette az előtag hossza (prefix-length) határozza meg, hogy az IPv6 forrás- vagy célcímből mennyi kerüljön egyeztetésre.
Konfigurálás után az IPv6 ACL az ipv6 traffic-filter paranccsal aktiválható az interfészen.