Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista.

Después de ingresar al modo de comando apropiado y que se decide el número de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parámetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, usando el comando ip access-group en el modo de configuración de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Es posible establecer la dirección del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el tráfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico que sale por una interfaz.

Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.