Precum un standard ACL , un ACL extins poate filtra traficul baza pe adresa sursă. Cu toate acestea , un ACL extins poate filtra deasemenea traficul bazat pe destinația adresei , protocolul și numărul portului. Aceasta permite administratorilor de rețea mai multă flexibilitate în tipul de trafic pe care îl pot filtra și unde să plaseze ACL-ul. Regula de baza pentru plasarea unui ACL extins este de a se pune cât mai aproape de sursă posibil. Acest lucru previne traficul nedorit din a fi trimis în mai multe rețele doar pentru a fi respins când ajunge la destinație.
Administratorii de rețea pot plasa ACL-urile doar pe dispozitivele asupra cărora au control. Prin urmare , plasamentul trebuie determinat în contextul în care se extinde controlul administratorului de rețea. În figură , administratorul Companiei A , care include rețelele 192.168.10.0/24 și 192.168.11.0/24 (denumite .10 și .11 în acest exemplu)dorește să controleze traficul către Compania B.Mai exact , administratorul dorește să refuze traficul Telnet sau FTP din rețeaua .11 către rețeaua Companiei B 192.168.30.0/24 (.30 în acest exemplu). În același timp , orice alt trafic din rețeaua .11 trebuie permis să părăsească Compania A fără restricție.
Există mai multe moduri de a realiza aceste obiective. Un ACL extins pe R3 care blochează Telnet și FTP din rețeaua .11 va realiza sarcina , dar administratorul nu controlează R3. În plus , această soluție permite de asemenea traficul nedorit să traverseze întreaga rețea doar pentru a fi blocat la destinație. Acesc lucru afectează eficiența globală a rețelei.
O soluție mai bună este de a plasa un ACL extins pe R1 care specifică atât sursei cât și destinației adreselor (respectiv rețelele .11 și .30) și aplică regula "Traficul Telnet și FTP din rețeaua .11 nu este permis să meargă la rețeaua .30".Figura arată două posiible interfețe pe R1 să aplice ACL extins:
- Interfața R1 S0/0/0 (ieșire) -O posibilitate este de a aplica un ACL extins de ieșire pe interfața S0/0/0. Pentru că ACL-ul extins poate examina atât sursa cât și destinația adreselor , doar pachetele FTP și Telnet din 192.168.11.0/24 vor fi refuzate. Oricare alt trafic de la 192.168.11.0/24 și alte rețele va fi transmis mai departe de R1. Dezavantajul de a plasa ACL extins pe această interfața este că tot traficul care iese din S0/0/0 trebuie procesat de ACL incluzând pachetele din 192.168.10.0/24.
- Interfața R1 G0/1 (de intrare) -Aplicarea unui ACL extins la traficului ce intra pe interfața G0/1 înseamnă că doar pachetele din rețeaua 192.168.11.0/24 sunt supuse prelucrării ACL pe R1: Pentru ca filtrul trebuie să fie limitat doar la acele pachete care pleacă din rețeaua 192.168.11.0/24 , aplicarea ACL-ului extins la G0/1 este soluția cea mai bună.