L'exemple de la Figure 1 refuse le trafic FTP provenant du sous-réseau 192.168.11.0 destiné au sous-réseau 192.168.10.0, mais autorise tout autre trafic. Notez l'utilisation des masques génériques et de l'instruction de refus global explicite. Souvenez-vous que le protocole FTP utilise les ports TCP 20 et 21. Par conséquent, la liste de contrôle d'accès doit comporter les mots-clés ftp et ftp-data, ou eq 20 et eq 21 pour refuser le trafic FTP.
Si vous utilisez les numéros de port au lieu des noms de port, les commandes sont les suivantes :
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
Pour empêcher l'instruction de refus global implicite présente à la fin de la liste de contrôle d'accès de bloquer tout le trafic, l'instruction permit ip any any est ajoutée. S'il n'existe aucune instruction permit dans une liste de contrôle d'accès, tout le trafic sur l'interface à laquelle cette liste est appliquée est abandonné. La liste de contrôle d'accès devrait être appliquée sur le trafic entrant dans l'interface G0/1 afin que le trafic provenant du réseau local 192.168.11.0/24 soit filtré lorsqu'il entre dans l'interface du routeur.
L'exemple de la Figure 2 refuse le trafic Telnet provenant de n'importe quelle source vers le réseau local 192.168.11.0/24, mais autorise tout autre trafic IP. Étant donné que le trafic destiné au réseau local 192.168.11.0/24 est sortant sur l'interface G0/1, la liste de contrôle d'accès serait appliquée à l'interface G0/1 à l'aide du mot-clé out. Notez l'utilisation du mot-clé any dans l'instruction d'autorisation. Cette instruction est ajoutée pour garantir qu'aucun autre trafic n'est bloqué.
Remarque : les exemples des Figures 1 et 2 utilisent tous deux l'instruction permit ip any any à la fin de la liste. Pour plus de sécurité, on peut utiliser la commande permit 192.168.11.0 0.0.0.255 any.