В примере на рис. 1 запрещён трафик FTP из подсети 192.168.11.0, который направляется в подсеть 192.168.10.0, но разрешён любой другой тип трафика. Обратите внимание на использование шаблонной маски и косвенной команды отказа deny any. Не забывайте, что протокол FTP использует порты TCP 20 и 21; таким образом, для запрета доступа FTP ACL-списку требуется оба ключевых слова имени порта: ftp и ftp-data или eq 20 и eq 21.
Если используется номер порта вместо имени порта, команды будут иметь следующий вид:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
Чтобы исключить блокирование всего трафика командой deny any, представленной в виде косвенной записи в конце каждого ACL-списка, необходимо добавить команду permit ip any any. При отсутствии, по крайней мере, одной разрешающей команды permit в ACL-списке весь трафик на интерфейсе, где применён ACL, будет сброшен. Список контроля доступа должен применяться на входящем интерфейсе G0/1, для того чтобы трафик из локальной сети 192.168.11.0/24 фильтровался при поступлении на интерфейс маршрутизатора.
В примере на рис. 2 запрещён трафик протокола Telnet из любого источника в LAN 192.168.11.0/24, но разрешён весь остальной IP-трафик. Поскольку трафик, предназначенный для локальной сети 192.168.11.0/24, является исходящим на интерфейсе G0/1, ACL-список будет применён на G0/1 с ключевым словом out. Обратите внимание на использование ключевых слов any в командах разрешения. Запись, содержащая разрешение, добавляется, чтобы избежать ненужной блокировки трафика.
Примечание. В примерах на рис. 1 и 2 в конце ACL-списка приводится команда permit ip any any. Для обеспечения большей безопасности можно применить команду permit 192.168.11.0 0.0.0.255 any.