Listes de contrôle d'accès, routage et processus des listes de contrôle d'accès sur un routeur
La figure illustre la logique de routage et les processus des listes de contrôle d'accès. Lorsqu'un paquet parvient à l'interface d'un routeur, le processus de ce dernier est identique, que des listes de contrôle d'accès soient utilisées ou non. À l'entrée d'une trame dans l'interface, le routeur vérifie si l'adresse de couche 2 de destination correspond à la sienne ou s'il s'agit d'une trame de diffusion.
Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le routeur recherche une liste de contrôle d'accès sur l'interface d'entrée. Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les instructions de la liste.
Si le paquet correspond à une instruction, il est autorisé ou refusé. Si le paquet est accepté, il est ensuite comparé aux entrées de la table de routage afin de déterminer l'interface de destination. S'il existe une entrée de table de routage pour la destination, le paquet est alors transmis à l'interface sortante. Dans le cas contraire, le paquet est abandonné.
Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès. Le cas échéant, le paquet est vérifié pour déceler des correspondances avec les instructions de la liste.
Si le paquet correspond à une instruction, il est autorisé ou refusé.
En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est encapsulé dans le nouveau protocole de couche 2 et acheminé par l'interface jusqu'au périphérique suivant.