W domyślnej konfiguracji router nie przeprowadza filtrowania ruchu. Ruch wchodzący do routera jest kierowany wyłącznie w oparciu o informacje w tablicy routingu.
Filtrowanie pakietów zapewnia kontrolę dostępu do sieci poprzez analizę pakietów wchodzących i wychodzących oraz przepuszczanie lub blokowanie ich na podstawie zadanych kryteriów, takich jak np. adres źródłowy IP, docelowy adres IP i protokół powiązany z pakietem. Aby określić, czy dany ruch należy przepuścić czy zablokować, router korzysta z tzw. reguł filtrowania. Filtrowanie pakietów może obejmować również protokoły warstwy 4 (transportowej).
Lista ACL jest sekwencyjną listą składającą się z instrukcji zezwoleń (permit) lub blokad (deny). Ostatnią deklaracją każdej listy ACL jest tzw. niejawne odrzucenie, blokujące cały ruch. Aby zapobiec niejawnemu odrzuceniu wszystkich pakietów, które występuje na końcu każdej ACL, można dodać wpis permit ip any any .
Gdy dane przechodzą przez interfejs, na którym skonfigurowano listę ACL, router porównuje informacje zawarte w pakiecie z poszczególnymi wpisami ACE w zadanej kolejności, aby określić, czy pakiet pasuje do jednego z nich. Jeśli dopasowanie istnieje, pakiet jest odpowiednio przetwarzany.
Poszczególne listy ACL można skonfigurować do obsługi ruchu przychodzącego do routera, lub wychodzącego z niego.
Standardowe listy ACL stosowane są do przepuszczania lub blokowania ruchu tylko na podstawie adresów źródłowych IPv4. Ani adresy docelowe pakietu ani porty nie są analizowane przez ten typ ACL. Podstawową zasadą dotyczącą lokalizacji standardowej listy ACL jest umieszczenie jej jak najbliżej sieci docelowej.
Rozszerzone listy ACL zapewniają filtrowanie pakietów na podstawie takich atrybutów jak: typ protokołu, źródłowy i/lub docelowy adres IP, a także źródłowy i/lub docelowy port. Podstawową zasadą co do lokalizacji rozszerzonej listy ACL jest umieszczenie jej tak blisko źródła, jak to tylko możliwe.
Polecenie access-list , wydane w trybie konfiguracji globalnej definiuje standardową listę ACL o numerze z zakresu od 1 do 99 lub rozszerzoną listę ACL o numerze z zakresu 100 do 199 i 2000 do 2699. Standardowe i rozszerzone listy ACL mogą być również nazywane. Do tworzenia standardowej nazywanej listy ACL służy komenda ip access-list standard nazwa , natomiast przy pomocy komendy ip access-list extended nazwa tworzona jest rozszerzona lista ACL. W regułach ACE można używać tzw. masek blankietowych (odwrotnych, wieloznacznych).
Po skonfigurowaniu listy ACL, należy przypisać ją do interfejsu przy pomocy komendy ip access-group w trybie konfiguracji tego interfejsu. Należy pamiętać, że obowiązuje zasada trzy razy N: jedna ACL na protokół, jedna na kierunek, jedna na interfejs.
Aby usunąć przypisanie listy ACL z interfejsu, najpierw należy w trybie konfiguracji interfejsu wydać polecenie no ip access-group , a następnie jeśli chcemy ją całkowicie usunąć, należy wprowadzić komendę no access-list w trybie konfiguracji globalnej.
Polecenia show running-config i show access-lists mogą zostać użyte do sprawdzenia konfiguracji listy ACL. Natomiast do sprawdzenia kierunku oraz interfejsu, do którego przypisana jest lista ACL, można użyć polecenia show ip interface .
Komenda access-class wydana w trybie konfiguracji linii VTY, umożliwia ograniczenie połączeń zdalnych między daną linią VTY a adresami na liście ACL.
Podobnie jak w przypadku nazywanych list ACL IPv4, nazwy list IPv6 muszą zawierać znaki alfanumeryczne oraz być unikatowe, rozróżniana jest także wielkość liter. W odróżnieniu od IPv4, nie ma potrzeby podawania opcji standard lub extended.
Aby utworzyć listę ACL IPv6, w trybie konfiguracji globalnej należy wydać polecenie ipv6 access-list nazwa . W przeciwieństwie do ACL IPv4, w listach ACL IPv6 nie używa się masek blankietowych. Zamiast tego używana jest długość prefiksu, która określa, w jakiej części adres źródłowy lub docelowy IPv6 będzie dopasowany.
Po skonfigurowaniu listy ACL IPv6, należy przypisać ją do interfejsu przy użyciu komendy ipv6 traffic-filter .