图 1 显示了一个允许特定子网(除该子网上的一个特定主机之外)的 ACL 示例。

该 ACL 用于取代上一个示例的 ACL,但它还可以阻止来自特定地址的流量。 第一个命令将删除之前的 ACL 1 版本。 下一条 ACL 语句将拒绝位于 192.168.10.10 的主机 PC1。 但允许 192.168.10.0/24 网络中的其他各台主机。 同样,隐式 deny 语句匹配所有其他网络。

该 ACL 将再次应用到接口 S0/0/0 的出站方向上。

图 2 是一个拒绝特定主机的 ACL 示例。 该 ACL 用于取代上一示例的 ACL。 此示例仍会阻止来自主机 PC1 的流量,但允许所有其他流量。

前两条命令与上一个示例相同。 第一个命令将删除之前的 ACL 1 版本,下一条 ACL 语句拒绝位于 192.168.10.10 网络中的主机 PC1。

第三行是一条新的语句,允许所有其他主机。 这意味着将允许来自 192.168.10.0/24 网络的所有主机,但由上一语句中拒绝的 PC1 除外。

此 ACL 将应用于接口 G0/0 的入站方向。 因为该过滤只会影响 G0/0 上的 192.168.10.0/24 LAN,所以将 ACL 应用于入站接口更加有效。 可将 ACL 应用于 s0/0/0 的出站方向,但是这样,R1 就必须检查来自所有网络的数据包,包括 192.168.11.0/24。