El ejemplo en la figura no permite que el tráfico de Telnet (eq 23) desde 172.16.4.0 se envíe desde la interfaz E0. Se permite todo el tráfico desde cualquier otro origen a cualquier otro destino, según lo indica la palabra clave any. La interfaz E0 está configurada con el comando access-group 101 out; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0. 
Denegar sólo Telnet desde E0, y permitir todo el tráfico restante
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (deny any implícito) (access-list 101 deny ip 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255)
interface ethernet 0 ip access-group 101 out
|