mac access-list extended Test_MAC
 deny f0:09:0d:bc:31:52 ff:ff:ff:ff:ff:00 ec:b1:e0:b4:72:c0 ff:ff:ff:ff:ff:00 vlan 10 ace-priority 20
 permit f0:09:0d:bc:31:52 00:00:00:00:00:ff 68:13:e2:d9:10:80 00:00:00:00:00:ff ace-priority 40
exit
interface GigabitEthernet1/0/1
 service-acl output Test_MAC
exit

Создаем extended (расширенный) MAC-ACL
Запрещаем устройству с MAC f0:09:0d:bc:31:52 и маской ff:ff:ff:ff:ff:00 подключение к устройству с МАС ec:b1:e0:b4:72:c0 ff:ff:ff:ff:ff:00 во vlan 10 (маска определяет биты МАС-адреса, которые необходимо игнорировать, в данном случае игнорируется проверка всех бит, кроме последних)
Разрешаем устройству с МАС f0:09:0d:bc:31:52 и маской 00:00:00:00:00:ff подключение к устройству с МАС 68:13:e2:d9:10:80 00:00:00:00:00:ff (в данном случае игнорируется проверка только последних 8 бит)

Переходим в режим конфигурации интерфейса
Назначаем созданный MAC-ACL на интерфейс.

ip access-list extended Test_IP
 permit ip 192.168.1.1 0.0.0.255 192.168.1.2 0.0.0.255 ace-priority 60
 permit tcp 192.168.1.1 0.0.0.255 10000 192.168.1.2 0.0.0.255 50000 ace-priority 80
 deny icmp 192.168.1.1 0.0.0.255 192.168.1.2 0.0.0.255 any any ace-priority 100
exit
interface GigabitEthernet1/0/2
 service-acl output Test_IP
exit

Создаем extended (расширенный) IP-ACL
Разрешаем устройству с ip 192.168.1.1 подключение к устройству 192.168.1.2
Разрешаем устройству с ip 192.168.1.1 по протоколу TCP подключаться к устройству 192.168.1.2, используя порт источник 10000 и порт назначения 50000
Запрещаем устройству с ip 192.168.1.1 отправлять ICMP-запросы устройству 192.168.1.2, используя любой тип ICMP-запроса и номер ICMP-кода

Переходим в режим конфигурации интерфейса
Назначаем созданный IP-ACL на интерфейс.