Mechanizm routingu oraz proces ACL na routerze
Rysunek przedstawia zasadę działania procesów routingu i ACL. Gdy pakiet przychodzi do interfejsu wejściowego routera, podlega tym samym procesom routera, niezależnie od tego czy istnieją listy ACL, czy też nie. Gdy ramka jest wprowadzana do interfejsu, router sprawdza czy adres docelowy warstwy 2 w ramce odpowiada jego własnemu adresowi warstwy 2 na interfejsie lub czy adres ten jest adresem rozgłoszeniowym.
Jeśli adres ramki został zaakceptowany, informacja o ramce jest usuwana, a router sprawdza, czy istnieje lista ACL interfejsu wejściowego. Jeśli lista ACL istnieje, sprawdzane są zawarte w niej reguły i porównywane z informacjami w pakiecie.
Jeśli pakiet pasuje do reguły, jest przepuszczany lub blokowany. Jeśli pakiet został przepuszczony przez listę wejściową, porównywany jest z wpisami tablicy routingu i wybierany jest interfejs wyjściowy. Jeśli istnieje wpis tablicy routingu dla adresu docelowego, pakiet jest kierowany do interfejsu wyjściowego, w przeciwnym wypadku jest odrzucany.
Następnie router sprawdza czy na interfejsie wyjściowym jest przypisana lista ACL. Jeśli lista ACL istnieje, sprawdzane są zawarte w niej reguły i porównywane z informacjami w pakiecie.
Gdy pakiet pasuje do reguły, podejmowana jest akcja przepuszczenia lub odrzucenia.
Jeśli na interfejsie nie ma listy ACL lub gdy pakiet został przepuszczony, jest ponownie enkapsulowany w ramkę warstwy 2 i wysyłany przez interfejs wyjściowy do następnego urządzenia.