Il y a 2 étapes pour la création de listes de contrôle. La première est de créer l'access list et la seconde étape est de l'appliquer sur l'interface. Lors de la création de l'''acess list'', il faut lui assigner un identificateur unique. Dans la majorité des cas, vous devrez utiliser un numéro (suivant le type de protocole à filtrer). Il est aussi possible d'utiliser une ``access list'' basée un nom mais uniquement avec certains protocoles.
| Protocole | espace |
| IP | 1 à 99 |
| Extended IP | 100 à 199 |
| Ethernet type code | 200 à 299 |
| Ethernet address | 700 à 799 |
| Transparent bridging (protocol type) | 200 à 299 |
| Transparent bridging (vendor code) | 700 à 799 |
| Extended transparent bridging | 1100 à 1199 |
| DECnet & extended DECnet | 300 à 399 |
| XNS | 400 à 499 |
| Extended XNS | 500 à 599 |
| Appletalk | 600 à 699 |
| Source-route bridging (protocol type) | 200 à 299 |
| Source-route bridging (vendor code) | 700 à 799 |
| IPX | 800 à 899 |
| Extended IPX | 900 à 999 |
| IPX SAP | 1000 à 1099 |
| VINES | 1 à 100 |
La création d'une ``access list'' est une suite de critères avec les paramètres sources, destinations, ou types de protocole. Pour une ``access list'' donnée (un numéro unique ou un nom unique) vous pouvez avoir plusieurs entrées. Vous n'êtes pas limité dans la taille de la liste (juste par la mémoire) . Par contre, plus la liste est longue, plus elle prend du temps à être parcourue (!!).
exemple :
ip addresse 192.168.1.254 255.255.255.0
ip access-group 1 in
!
!
access-list 1 permit 192.168.1.1
access-list 1 deny 192.168.2.0 0.0.0.255
L'ordre des entrées dans l'''access-list'' est important et c'est la première règle qui satisfait qui est prise en compte.
Lors de la modification d'une ``access list'', il est difficile de la modifier. Il vous est impossible d'insérer une règle dans l'''acces list''. La seule solution est d'effacer la liste et de la recréer (même si vous avez 300 entrées 8-). Vous pouvez aussi copier la liste en TFTP et ensuite la recharger en TFTP.