和标准 ACL 一样,扩展 ACL 可以根据源地址过滤流量。 但是,扩展 ACL 还可根据目的地址、协议和端口号来过滤流量。 这使网络管理员能够更加灵活地选择可过滤流量的类型以及 ACL 放置位置。 放置扩展 ACL 的基本规则是将其置于尽量靠近源地址的位置。 这可以阻止将不需要的流量通过多个网络发送,只在其到达目的地时才拒绝它。

管理员仅可在自己能够控制的设备上放置 ACL。 因此,放置位置必须在网络管理员的控制范围内。 在该图中,公司 A(包括 192.168.10.0/24 和 192.168.11.0/24 网络,在本例中称为 .10 和 .11)的管理员想要控制通往公司 B 的流量。 具体而言,管理员希望拒绝来自 .11 网络的 Telnet 和 FTP 流量发送到公司 B 的 192.168.30.0/24 (本例中称为 .30)网络中。 同时,必须允许来自 .11 网络的所有其他流量无限制地传出公司 A。

有多种方法可用于实现这些目标。 在 R3 上创建扩展 ACL 以拦截来自 .11 网络的 Telnet 和 FTP,这样可以完成任务,但是管理员不能控制 R3。 另外,此解决方案还是无法阻止不需要的流量通过整个网络,它仅在目的地阻止了不需要的流量。 这影响了总体网络效率。

一个更好的解决方案是在已指定源地址和目的地址(分别为 .11 网络和 .30 网络)的 R1 上放置扩展 ACL,并执行规则“来自 .11 网络的 Telnet 和 FTP 流量不允许发往 .30 网络。”图示为 R1 上两个可能应用扩展 ACL 的接口: