Poszczególne kroki proceduralne przy konfigurowaniu rozszerzonych list ACL są takie same, jak w przypadku list standardowych. Najpierw należy skonfigurować listę ACL, a następnie aktywować ją na interfejsie. W celu umożliwienia obsługi dodatkowych funkcji, zmieniona została składnia polecenia a wymagane parametry są bardziej złożone.
Uwaga: Logika wewnętrzna, stosowana przy ustalaniu kolejności wpisów w standardowych listach ACL, w przypadku list rozszerzonych nie ma zastosowania. Poszczególne reguły są wyświetlane i przetwarzane w takiej samej kolejności, w jakiej zostały wprowadzone.
Rysunek 1 przedstawia ogólną składnię oraz opcje występujące przy tworzeniu rozszerzonych list ACL. Jak widać, występuje tu dużo słów kluczowych i parametrów , aczkolwiek nie ma konieczności używania wszystkich. Przypomnijmy, że podczas tworzenia reguły, po wpisaniu znaku ? , można uzyskać pomoc na temat aktualnie wprowadzanego parametru.
Na rysunku 2 przedstawiono przykład rozszerzonej listy ACL. W tym przykładzie, administrator sieci skonfigurował listę ACL, ograniczającą dostęp z podsieci dołączonej do interfejsu G0/0 do wszystkich sieci zewnętrznych, za wyjątkiem możliwości przeglądania stron WWW. Lista ACL 103 zezwala na ruch ze wszystkich adresów z podsieci 192.168.10.0, na wszystkie adresy docelowe, pod warunkiem, że portem docelowym dla pakietów będzie 80 (HTTP) lub 443 (HTTPS).
Cechą protokołu HTTP jest to, że strony internetowe wysyłane są w odpowiedzi na żądania klientów z sieci wewnętrznej. Administrator sieci może wprowadzić restrykcje, w wyniku których przepuszczane będą tylko pakiety, które są odpowiedzią na żądania stron internetowych, podczas gdy pozostały ruch będzie zablokowany. Przykład takiej konfiguracji przedstawiony jest na liście ACL 104, na której cały ruch przychodzący jest zablokowany, z wyjątkiem wcześniej ustanowionych połączeń. Lista ACL 104 daje zezwolenie na ruch przychodzący na podstawie parametru established .
Parametr established powoduje, że tylko ruch, który jest odpowiedzią na ruch rozpoczęty w sieci 192.168.10.0/24, będzie miał zezwolenie na wejście do tej sieci. Zgodność występuje tylko wtedy, gdy powracający segment TCP posiada ustawiony bit potwierdzenia (ACK) lub reset (RST), które oznaczają, że pakiet należy do istniejącego połączenia. Gdybyśmy nie ustawili parametru established , zezwolenie na wejście do podsieci 192.168.10.0/24 miały by wszystkie pakiety, a nie tylko te, które są odpowiedzią na żądania wysyłane z tej podsieci.