Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau. Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Par exemple, le trafic qui sera refusé sur une destination distante ne doit pas être acheminé à l'aide de ressources réseau situées sur la route menant à cette destination.
Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances. Comme le montre la figure, les règles de base sont les suivantes :
- Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de la source du trafic à filtrer. De cette manière, le trafic indésirable est refusé près du réseau source et ne traverse pas l'infrastructure réseau.
- Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, placez-les le plus près possible de la destination. Le fait de placer une liste de contrôle d'accès standard à la source du trafic empêche efficacement ce trafic d'accéder à tous les autres réseaux via l'interface à laquelle la liste est appliquée.
La position de la liste de contrôle d'accès et donc le type de liste utilisé peuvent également dépendre des caractéristiques suivantes :
- Le contrôle de l'administrateur réseau : la position de la liste de contrôle d'accès peut être différente si l'administrateur réseau contrôle à la fois les réseaux source et de destination.
- Bande passante des réseaux concernés : le filtrage du trafic indésirable à la source empêche la transmission du trafic avant qu'il consomme de la bande passante sur le chemin vers une destination. Cela est particulièrement important sur les réseaux à faible bande passante.
- Facilité de configuration : si un administrateur réseau souhaite refuser le trafic provenant de plusieurs réseaux, il est possible d'utiliser une seule liste de contrôle d'accès standard sur le routeur le plus proche de la destination. L'inconvénient est que le trafic de ces réseaux « gaspille » de la bande passante. Une liste de contrôle d'accès étendue peut être utilisée sur chaque routeur d'où provient le trafic. Cela permet d'économiser de la bande passante en filtrant le trafic à la source, mais nécessite la création de listes de contrôle d'accès étendues sur plusieurs routeurs.
Remarque : pour la certification CCNA, la règle générale est de placer les listes de contrôle d'accès étendues aussi près que possible de la source et les listes de contrôle d'accès standard aussi près que possible de la destination.