В интерфейсе командной строки с помощью команды ip access-list указываются списки доступа, в которых задается трафик, который будет потом просто пропускаться, защищаться или запрещаться. Для создания защищенных туннелей используются только расширенные списки доступа.
Команда ip access-list с параметром extended осуществляет вход в режим config-ext-nacl (режим редактирования расширенных списков доступа). В этом режиме с помощью команд permit и deny формируются списки доступа.
В конфигурационном файле правила фильтрации описываются структурой Filter.