Comme les listes de contrôle d'accès standard, les listes de contrôle d'accès étendues peuvent filtrer le trafic en fonction de l'adresse source. Cependant, une liste de contrôle d'accès étendue peut également filtrer le trafic en fonction de l'adresse de destination, du protocole et du numéro de port. Cela offre aux administrateurs réseau davantage de flexibilité au niveau du type de trafic pouvant être filtré et de la position de la liste. La règle de base pour le placement des listes de contrôle d'accès étendues consiste à les placer aussi près que possible de la source. Cela empêche le trafic indésirable d'être envoyé sur plusieurs réseaux pour être finalement refusé lorsqu'il atteint sa destination.

Les administrateurs réseau peuvent placer des listes de contrôle d'accès uniquement sur les périphériques qu'ils contrôlent. Par conséquent, cet emplacement doit être déterminé par la portée du contrôle dont dispose l'administrateur réseau. Sur la figure, l'administrateur de la société A, qui comprend les réseaux 192.168.10.0/24 et 192.168.11.0/24 (appelés .10 et .11 dans cet exemple), souhaite contrôler le trafic vers la société B. En particulier, l'administrateur souhaite refuser le trafic Telnet et FTP provenant du réseau .11 vers le réseau 192.168.30.0/24 (.30, dans cet exemple) de la société B. Dans un même temps, le reste du trafic provenant du réseau .11 doit être autorisé à quitter la société A sans aucune restriction.

Il existe plusieurs façons d'atteindre ces objectifs. Une liste de contrôle d'accès étendue placée sur R3 et bloquant le trafic Telnet et FTP provenant du réseau .11 serait une solution, mais l'administrateur ne contrôle pas R3. En outre, cette solution autorise le passage du trafic indésirable sur l'ensemble du réseau avant de le bloquer lorsqu'il arrive à destination. Cette situation affecte les performances réseau globales.

Il est plus judicieux de placer une liste de contrôle d'accès étendue sur R1, qui spécifie les adresses source et de destination (réseaux .11 et .30, respectivement) et applique la règle « Le trafic Telnet et FTP provenant du réseau .11 n'est pas autorisé à accéder au réseau .30 ». La figure montre deux interfaces de R1 sur lesquelles il est possible d'appliquer la liste de contrôle d'accès étendue :