На рис. 1 приведён пример ACL-списка, разрешающего исключить определённую подсеть за исключением конкретного узла в этой подсети.
Этот ACL-список заменяет предыдущий пример, но при этом дополнительно блокирует трафик с определённого адреса. Первая команда удаляет предыдущую версию ACL-списка 1. Следующая запись списка контроля доступа запрещает узел PC1, расположенный в сети 192.168.10.10. Все остальные узлы сети 192.168.10.0/24 разрешены. И снова косвенная запись отказа соответствует каждой иной сети.
ACL-список повторно применён на исходящем направлении интерфейса S0/0/0.
На рис. 2 приведён пример ACL-списка, который запрещает определённый узел. Этот ACL-список является заменой предыдущему примеру. В этом примере по-прежнему блокируется трафик от узла PC1, но разрешён весь остальной трафик.
Первые две команды аналогичны командам из предыдущего примера. Первая команда удаляет предыдущую версию ACL 1, в то время как следующая команда списка контроля доступа запрещает узел PC1, расположенный в сети 192.168.10.10.
Третья команда введена заново — в ней разрешаются все другие узлы. Это означает, что разрешены все узлы сети 192.168.10.0/24, за исключением PC1, который был запрещён в предыдущей записи.
Рассматриваемый ACL-список применяется на входящем направлении интерфейса G0/0. Поскольку фильтр затрагивает только на LAN 192.168.10.0/24 на G0/0, более эффективным будет применить ACL-список на входящем интерфейсов. ACL-список может быть применён на s0/0/0 в исходящем направлении, но с другой стороны, R1 будет вынужден проверять пакеты от всех сетей, включая 192.168.11.0/24.