Logika wejściowych list ACL
Rysunek 1 przedstawia schemat działania wejściowej listy ACL. Informacje odczytane z nagłówka pakietu porównywane są z wpisem na liście ACL. Jeśli istnieje dopasowanie, pozostałe wpisy z listy są pomijane a pakiet jest przepuszczany lub odrzucany, w zależności od tego, jak zostało to określone w regule. Jeżeli informacje z nagłówka pakietu nie pasują do danego wpisu ACL, pakiet jest testowany przez następną regułę z listy. Proces ten odbywa się aż do momentu, gdy zostanie osiągnięty koniec listy ACL.
Na końcu każdej listy ACL znajduje się wpis odrzucający cały ruch, czyli niejawne odrzucenie. Wpis ten jest wpisem ukrytym, co oznacza że nie jest wyświetlany podczas przeglądania listy ACL w konsoli. Jest on stosowany do pakietów, dla których nie wystąpiło dopasowanie do żadnej reguły na liście. Wynikiem tej ostatniej reguły deny jest odrzucenie wszystkich pozostałych pakietów. Pakiety te, zamiast wejść do lub wyjść z interfejsu, są przez router odrzucane. Ta ostatnia reguła jest często określana jako "niejawne odrzucenie" lub "odrzucenie całego ruchu". Z tego powodu, na każdej liście ACL powinna znajdować się co najmniej jedna reguła zezwalająca; w przeciwnym wypadku lista ACL zablokuje cały ruch.
Logika wyjściowych list ACL
Rysunek 2 przedstawia zasadę działania wyjściowej listy ACL. Zanim pakiet zostanie przekazany do interfejsu wyjściowego, router analizuje tablicę routingu w celu sprawdzenia czy pakiet jest routowalny. Jeśli pakiet nie jest routowalny, jest odrzucany i nie jest sprawdzany przez wyjściowe reguły ACE. Następnie router sprawdza, czy do interfejsu wyjściowego jest przypisana lista ACL. Jeśli do interfejsu wyjściowego nie została przypisana żadna lista ACL, pakiet może zostać od razu wysłany do bufora wyjściowego. Poniżej podano przykładowe warianty przetwarzania wyjściowej listy ACL:
- Brak przypisanej listy ACL do interfejsu: Jeśli do interfejsu wyjściowego nie została przypisana wyjściowa lista ACL, pakiet jest od razu przesyłany do tego interfejsu.
- Istnieje lista ACL przypisana do interfejsu: Jeżeli do interfejsu wyjściowego jest przypisana wyjściowa lista ACL, pakiet nie jest wysyłany od razu na wyjście, lecz jest sprawdzany pod kątem dopasowania do reguł ACE wyjściowej listy kontroli dostępu, skojarzonej z tym interfejsem. Na podstawie rezultatu tego testu, pakiet jest przepuszczany lub odrzucany.
W przypadku wyjściowych list ACL, pojęcie "permit" oznacza przesłanie pakietu do bufora wyjściowego, natomiast "deny" oznacza odrzucenie pakietu.