为了达到最佳性能，在考虑设计有效的访问控制列表的同时，还要考虑在路由器和互联网络中如何部署ACL。例如，通常当使用ACL做安全过滤时.一般会放在入站接口:而使用ACL做流虽过涟时，一般会放在出站接口。部署ACL时，还应考虑到访问控制列表和路由进程对路由器CPU工作负荷的影响。如图6-6所示.入站ACL是在路由进程之前被调用，而出站C1.是在路由进程之后被调用。
　　
　　如果大多数经过路由进程的报文有可能被访问控制列表拒绝，那么入站ACL显然可以节省一些路由处理周期。标准ACL仅能够针对数据包的潭地址设定检查条件来进行过涟。因而，只能将其尽可能放里在招近月的地址的地方，以便从该潇地址发出的数据包可以不受过涟地访问其他目标。

 

　　
　　例如.在图6-7(a)中，使用标准的ACL实现拒绝主机192.168.1.1对主机172.2.1.5的访问，就只能放里在最旅近主机172.2.1.5的路由器接口处，才能不影响主机192.168.1.6对其他地方的访问。但是这样一来.尽竹实现了需要的访问控制.却正如图中所示t的那样浪费了网络的带宽和路由器的CPU资浑，因为有许多最终要被丢弃的数据包还是从主机192.168.1.6出发井一路杨通地传输到了最称近主机172.2.1.5的路由器接口处。
　　
　　相比之下，扩展ACL由于可以非常准确的标识报文的特性.所以应该、也可以被放i在尽可能书近湘地址的地方，这样不但实现了需要的访问控制.还可以防止把带宽和CPU资源浪费在无用的报文上(乡见图6-7(b))。当然，扩展ACL的复杂性意味粉占用更多处理器开梢，并且会影响到路由器的交换。因而在决定在那里放1ACL时，需要权衡考虑。