Exemplul prezentat în Figura 1 blochează traficul FTP de la subrețeaua 192.168.11.0 care merge la subrețeaua 192.168.10.0 , dar permite oricare alt trafic. Observați utilizarea măștilor wildcard și deny explicit fiecărei declarații. Amintiți-vă că FTP utilizează porturile TCP 20 și 21 ; așadar ACL necesită ambele cuvinte cheie ale numelor porturilor. ftp și ftp-data sau eq 20 și eq 21 pentru a restricționa FTP.
În cazul în care utilizați numere în loc de nume , comenzile ar fi scrise așa:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
Pentru a preveni deny implicit al oricărei declarații de la capătul unui ACL din a bloca tot traficul , declarația permit ip any any este adăugată. Fără cel puțin o declarație permit în ACL , tot traficul de pe interfața unde ACL a fost aplicat , va fi abandonat. ACL-ul ar trebui aplicat interfeței de intrare G0/1 pentru ca traficul de la LAN-ul 192.168.11.0/24 este filtrat precum intră pe interfața router-ului.
Exemplul prezentat în Figura 2 , blochează traficul Telnet de la orice sursă la LAN-ul 192.168.11.0/24 , dar permite oricare alt trafic IP. Pentru că traficul destinat pentru LAN-ul 192.168.11.0/24 este pe interfața de ieșire G0/1 , ACL-ul va fi aplicat către G0/1 utilizând cuvântul cheie out . Observați utilizarea cuvintelor cheie any în declarație de permit. Această declarație este adăugată pentru a asigura că nici un alt trafic este blocat.
Notă:Exemplele din Figurile 1 și 2 utilizează amândouă declarația permit ip any any la capătul ACL-ului. Pentru o securitate mai bună utilizați comanda permit 192.168.11.0 0.0.0.255 any .