Când traficul intră în router , acesta este comparat cu toate ACE-urile în ordinea in care apar intrările în ACL. Routerul continuă să proceseze ACE-urile până când găsește o potrivire. Routerul va procesa pachetul pe baza primei potriviri găsite și nici alte ACE-uri vor fi examinate.
Dacă nici o potrivire nu se găsește când routerul ajunge la finalul listei , traficul este oprit. Acest lucru se datorează faptului că , în mod implicit , există un "restricționează orice" la capătul tuturor ACL-urilor pentru traficul care nu a fost potrivit pentru o intrare de configurare. O singură intrare ACL cu doar o intrare de restricționare are efectul de a bloca tot traficul. Cel puțin un ACL de acces trebuie configurat într-un ACL sau tot traficul este blocat.
Pentru rețeaua din figură , aplicați fie ACL 1 sau ACL 2 la interfața S0/0/0 a interfeței lui R1 în interfața de ieșire poate avea același efect. Rețelei 192.168.10.0 îi va fi permis accesul către rețelele la care se poate ajunge prin S0/0/0 în timp ce 192.168.11.0 nu îi va fi permis accesul către aceste rețele.