Na rysunku 1 pokazano sytuację, w której należy zablokować ruch protokołu FTP z podsieci 192.168.11.0 do podsieci 192.168.10.0 i zezwolić na cały pozostały ruch. Zwróć uwagę że w tych regułach zostały użyte maski blankietowe, oraz wyraźne odrzucenie dla ruchu FTP. Ponieważ protokół FTP używa portów TCP 20 i 21 do transmisji danych oraz podtrzymania sesji, w związku z tym, aby zablokować ten ruch, muszą zostać użyte oba słowa kluczowe określające nazwy tych portów, ftp i ftp-data lub bezpośrednio numery portów, eq 20 i eq 21 .
W przypadku użycia numerów portów zamiast ich nazw, polecenie to będzie wyglądać następująco:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
Aby zapobiec niejawnemu odrzuceniu wszystkich pakietów, które występuje na końcu każdej ACL, należy dodać wpis permit ip any any . Bez umieszczenia wpisu permit na końcu listy, cały ruch na interfejsie, na którym dowiązano listę ACL, byłby odrzucony. Lista ACL powinna być powiązana z interfejsem G0/1 w kierunku wejściowym, dzięki czemu filtrowany będzie ruch z sieci LAN 192.168.11.0/24, wchodzący do interfejsu.
Na rysunku 2 przedstawiono przykład, w którym blokowany jest ruch Telnet z każdego adresu do sieci 192.168.11.0/24, natomiast cały pozostały ruch jest przepuszczony. Ponieważ badany ruch, którego celem jest podsieć 192.168.11.0/24, wychodzi z interfejsu G0/1, lista ACL powinna być powiązana do tego interfejsu przy użyciu słowa kluczowego out . Zwróć uwagę na zastosowanie słowa kluczowego any w regule zezwalającej. Wpis zezwalający został dodany, aby zapewnić przepuszczenie wszystkich pozostałych pakietów.
Uwaga: Przykłady z rysunków 1 i 2 posiadają na końcu listy ACL wpis permit ip any any . Aby zwiększyć bezpieczeństwo, można ograniczyć tą regułę tylko do podsieci lokalnej, dodając wpis permit 192.168.11.0 0.0.0.255 any w kierunku wejściowym.