Dans l'exemple précédent, l'administrateur réseau a configuré une liste de contrôle d'accès pour permettre aux utilisateurs du réseau 192.168.10.0/24 de naviguer sur les sites Web sécurisés et non sécurisés. Même si elle a été configurée, la liste de contrôle d'accès ne filtre pas le trafic tant qu'elle n'est pas appliquée à une interface. Pour appliquer une liste de contrôle d'accès à une interface, déterminez d'abord si le filtrage concerne le trafic entrant ou sortant. Lorsqu'un utilisateur du réseau local interne accède à un site Web sur Internet, le trafic est dans la direction sortante vers Internet. Lorsqu'un utilisateur interne reçoit un e-mail à partir d'Internet, le trafic entre dans le routeur local. Cependant, lorsque vous appliquez une liste de contrôle d'accès à une interface, les termes entrant et sortant prennent un sens différent. Dans le contexte d'une liste de contrôle d'accès, le référentiel est l'interface du routeur.
Dans la topologie de la figure, R1 a trois interfaces : une interface série, S0/0/0, et deux interfaces Gigabit Ethernet, G0/0 et G0/1. Souvenez-vous que les listes de contrôle d'accès étendues doivent généralement être appliquées près de la source. Dans cette topologie, l'interface la plus proche de la source du trafic cible est l'interface G0/0.
Le trafic des requêtes Web émises par les utilisateurs du réseau local 192.168.10.0/24 entre dans l'interface G0/0. Le trafic de retour provenant des connexions établies avec les utilisateurs du réseau local sort de l'interface G0/0. Cet exemple applique la liste de contrôle d'accès à l'interface G0/0 dans les deux sens. La liste de contrôle d'accès entrante, 103, examine le type de trafic. La liste de contrôle d'accès sortante, 104, recherche le trafic de retour des connexions établies. L'accès internet de 192.168.10.0 sera donc limité à la navigation sur le Web.
Remarque : les listes d'accès auraient pu être appliquées à l'interface S0/0/0, mais dans ce cas, le processus ACL du routeur devrait examiner tous les paquets entrant dans le routeur et non seulement le trafic en provenance et à destination de 192.168.11.0. Cela entraînerait des opérations inutiles pour le routeur.