Lorsque le trafic entre dans le routeur, il est comparé à toutes les entrées de contrôle d'accès dans l'ordre dans lequel ces entrées apparaissent dans la liste de contrôle d'accès. Le routeur continue à traiter les ACE jusqu'à ce qu'il trouve une correspondance. Le routeur traite le paquet en fonction de la première correspondance trouvée et aucune autre ACE ne sera inspectée.

Si aucune correspondance n'est trouvée, lorsque le routeur atteint la fin de la liste, le trafic est refusé. Ceci est dû au fait que, par défaut, il existe un refus implicite à la fin de toutes les listes de contrôle d'accès pour le trafic qui ne correspond à aucune entrée configurée. Si vous avez une liste de contrôle d'accès à entrée unique, et que celle-ci est une entrée de refus, tout le trafic sera refusé. Au moins une ACE d'autorisation doit être configurée dans toute liste de contrôle d'accès. Sinon, tout le trafic est bloqué.

Pour le réseau sur la figure, l'application de la liste de contrôle d'accès 1 ou 2 à l'interface S0/0/0 de R1 vers la sortie aura le même effet. Le réseau 192.168.10.0 sera autorisé à accéder aux réseaux accessibles via S0/0/0 alors que 192.168.11.0 ne sera pas autorisé à y accéder.