La Figure 1 présente un exemple de liste de contrôle d'accès permettant une exception pour un hôte spécifique d'un sous-réseau.

Cette liste de contrôle d'accès remplace l'exemple précédent, mais bloque également le trafic provenant d'une adresse précise. La première commande supprime la version précédente de l'ACL 1. La prochaine instruction de la liste de contrôle d'accès refuse l'hôte PC1 sur le réseau 192.168.10.10. Un hôte sur deux du réseau 192.168.10.0/24 est autorisé. L'instruction de refus implicite fait correspondre un réseau sur deux.

La liste de contrôle d'accès est réappliquée à l'interface S0/0/0 dans la direction sortante.

La Figure 2 montre un exemple de liste de contrôle d'accès refusant un hôte spécifique. Cette liste de contrôle d'accès remplace l'exemple précédent. Cet exemple bloque toujours le trafic provenant de l'hôte PC1, mais autorise le reste du trafic.

Les deux premières commandes sont identiques à celles de l'exemple précédent. La première commande supprime la version précédente de l'ACL 1. La prochaine instruction de la liste de contrôle d'accès refuse l'hôte PC1 situé sur le réseau 192.168.10.10.

La troisième ligne est nouvelle et autorise tous les autres hôtes. Cela signifie que tous les hôtes du réseau 192.168.10.0/24 seront autorisés sauf PC1 qui a été refusé dans l'instruction précédente.

Cette liste de contrôle d'accès est appliquée à l'interface G0/0 dans la direction entrante. Étant donné que le filtre affecte uniquement le réseau local 192.168.10.0/24 sur l'interface G0/0, il est plus judicieux d'appliquer la liste de contrôle d'accès à l'interface d'entrée. La liste de contrôle d'accès pourrait être appliquée à l'interface S0/0/0 dans la direction sortante, mais dans ce cas, R1 devrait examiner les paquets provenant de tous les réseaux, y compris 192.168.11.0/24.