Когда трафик поступает на маршрутизатор, он сравнивается с записями ACE в порядке, заданном в ACL-списке. Маршрутизатор продолжает обработку ACE, пока не обнаружит совпадение. Маршрутизатор обрабатывает пакет на основе первого найденного совпадения, остальные ACE-записи маршрутизатором не учитываются.
Если к концу списка совпадения не найдены, маршрутизатор отклоняет трафик. Это объясняется тем, что по умолчанию в конце каждого ACL-списка содержится команда запрета для трафика, который не совпали ни с одной записью списка. Если ACL-список состоит из одной команды запрета, весь трафик будет отклоняться. Таким образом, в списке должна быть, по крайней мере, одна команда разрешения, т.к. в противном случае весь трафик будет заблокирован.
Для сети на рисунке применение ACL-списка 1 или ACL-списка 2 на интерфейсе S0/0/0 маршрутизатора R1 на исходящем направлении даёт одинаковые результаты. Для сети 192.168.10.0 будет разрешён доступ к сетям, досягаемым через S0/0/0, в то время как в отношении сети 192.168.11.0 будет действовать запрет доступа этим сетям.