Precum un standard ACL , un ACL extins poate filtra traficul baza pe adresa sursă. Cu toate acestea , un ACL extins poate filtra deasemenea traficul bazat pe destinația adresei , protocolul și numărul portului. Aceasta permite administratorilor de rețea mai multă flexibilitate în tipul de trafic pe care îl pot filtra și unde să plaseze ACL-ul. Regula de baza pentru plasarea unui ACL extins este de a se pune cât mai aproape de sursă posibil. Acest lucru previne traficul nedorit din a fi trimis în mai multe rețele doar pentru a fi respins când ajunge la destinație.

Administratorii de rețea pot plasa ACL-urile doar pe dispozitivele asupra cărora au control. Prin urmare , plasamentul trebuie determinat în contextul în care se extinde controlul administratorului de rețea. În figură , administratorul Companiei A , care include rețelele 192.168.10.0/24 și 192.168.11.0/24 (denumite .10 și .11 în acest exemplu)dorește să controleze traficul către Compania B.Mai exact , administratorul dorește să refuze traficul Telnet sau FTP din rețeaua .11 către rețeaua Companiei B 192.168.30.0/24 (.30 în acest exemplu). În același timp , orice alt trafic din rețeaua .11 trebuie permis să părăsească Compania A fără restricție.

Există mai multe moduri de a realiza aceste obiective. Un ACL extins pe R3 care blochează Telnet și FTP din rețeaua .11 va realiza sarcina , dar administratorul nu controlează R3. În plus , această soluție permite de asemenea traficul nedorit să traverseze întreaga rețea doar pentru a fi blocat la destinație. Acesc lucru afectează eficiența globală a rețelei.

O soluție mai bună este de a plasa un ACL extins pe R1 care specifică atât sursei cât și destinației adreselor (respectiv rețelele .11 și .30) și aplică regula "Traficul Telnet și FTP din rețeaua .11 nu este permis să meargă la rețeaua .30".Figura arată două posiible interfețe pe R1 să aplice ACL extins: