March 29, 2026

10.1 Was ist eine ACL? Grundlagen einfach erklärt

Eine ACL ist eine der wichtigsten Grundlagen in der Netzwerktechnik und IT-Sicherheit, weil sie bestimmt, welcher Datenverkehr erlaubt oder blockiert wird. Gerade in Cisco-Umgebungen gehört das Verständnis von Access Control Lists zu den zentralen Themen für CCNA, Netzwerkpraxis und Sicherheitsdesign. Viele Einsteiger lernen zunächst, dass Geräte wie Router und Switches Datenpakete weiterleiten. In der Praxis ist aber mindestens genauso wichtig, dass nicht jede Kommunikation automatisch erlaubt sein sollte. Benutzer-VLANs sollen nicht direkt auf Managementnetze zugreifen, Gäste sollen keine internen Server erreichen, und manchmal dürfen nur ganz bestimmte Protokolle oder Hosts miteinander kommunizieren. Genau dafür werden ACLs eingesetzt. Sie helfen dabei, Netzwerke nicht nur funktionsfähig, sondern kontrollierbar und sicher zu machen. Wer versteht, was eine ACL ist, wie sie arbeitet und wo sie eingesetzt wird, legt einen wichtigen Grundstein für Routing, Segmentierung, Sicherheitszonen und professionelle Netzwerkadministration.

Table of Contents

Was eine ACL grundsätzlich ist

ACL steht für Access Control List

ACL ist die Abkürzung für Access Control List, auf Deutsch Zugriffskontrollliste. Dahinter steckt eine Sammlung von Regeln, mit denen ein Netzwerkgerät entscheidet, ob bestimmter Datenverkehr erlaubt oder verweigert wird. Eine ACL ist also keine Hardware und auch kein eigenes Protokoll, sondern eine Regelbasis, die auf einem Router, Layer-3-Switch oder anderen Netzwerkknoten angewendet wird.

Vereinfacht gesagt beantwortet eine ACL Fragen wie:

  • Darf dieses Paket von dieser Quelle zu diesem Ziel?
  • Darf nur ein bestimmtes Protokoll passieren?
  • Soll Verkehr aus einem bestimmten Netz blockiert werden?
  • Soll der Zugriff auf Managementdienste eingeschränkt werden?

Eine ACL ist damit ein sehr direktes Werkzeug zur Steuerung von Netzkommunikation.

ACLs filtern nicht „alles“, sondern arbeiten nach definierten Regeln

Ein häufiger Anfängerfehler ist die Vorstellung, eine ACL sei einfach ein allgemeiner Sicherheitsschalter. Tatsächlich arbeitet sie streng regelbasiert. Das Gerät prüft Pakete anhand der definierten Einträge und trifft dann eine Entscheidung. Ohne klare Regeln gibt es keine sinnvolle Wirkung. Genau deshalb sind ACLs sehr mächtig, aber auch fehleranfällig, wenn sie unpräzise geplant werden.

Warum ACLs in Netzwerken so wichtig sind

Nicht jede Kommunikation sollte erlaubt sein

In einem kleinen Testnetz ist es oft bequem, wenn jedes Gerät jedes andere Gerät erreichen kann. In produktiven Umgebungen ist das aber selten sinnvoll. Benutzergeräte, Server, Gastnetze, Drucker, IoT-Systeme und Managementkomponenten haben unterschiedliche Aufgaben und Schutzbedarfe. Wenn alle Systeme frei miteinander kommunizieren können, wird die Angriffsfläche unnötig groß.

  • Benutzer-VLANs sollen nicht automatisch Managementschnittstellen sehen.
  • Gastgeräte sollen nicht auf interne Server zugreifen.
  • IoT-Systeme brauchen oft nur wenige definierte Verbindungen.
  • Administrationszugänge sollen nur aus bestimmten Netzen erreichbar sein.

ACLs helfen genau dabei, diese Unterschiede technisch umzusetzen.

ACLs unterstützen Segmentierung und Least Privilege

ACLs sind eng mit Netzwerksegmentierung und dem Prinzip der geringsten Rechte verbunden. VLANs und Subnetze schaffen die Struktur, ACLs steuern dann die erlaubte Kommunikation zwischen diesen Bereichen. Erst durch ACLs wird aus einer logischen Trennung eine echte kontrollierte Sicherheitsgrenze.

Wie eine ACL arbeitet

Pakete werden von oben nach unten geprüft

Eine ACL besteht aus einzelnen Regeln, die in einer bestimmten Reihenfolge verarbeitet werden. Das Netzwerkgerät prüft ein Paket gegen die erste Regel, dann gegen die zweite und so weiter. Sobald eine Regel passt, ist die Entscheidung getroffen. Danach werden die restlichen Einträge nicht mehr geprüft.

Das bedeutet:

  • Die Reihenfolge der Einträge ist entscheidend.
  • Eine allgemein formulierte Regel kann spezifischere Regeln überdecken.
  • Die erste passende Regel gewinnt.

Genau deshalb muss eine ACL immer bewusst und in logischer Reihenfolge aufgebaut werden.

Es gibt immer ein implizites deny am Ende

Ein besonders wichtiges Grundprinzip lautet: Am Ende einer ACL existiert ein implizites deny any. Das bedeutet, dass jedes Paket, das auf keine explizit erlaubende Regel passt, automatisch verworfen wird. Dieser Punkt ist für Einsteiger besonders wichtig, weil er erklärt, warum eine scheinbar kleine ACL plötzlich mehr blockieren kann als erwartet.

Praktisch heißt das:

  • Nur ausdrücklich erlaubter Verkehr passiert.
  • Nicht definierter Verkehr wird am Ende verworfen.
  • Unvollständige ACLs können unbeabsichtigt Kommunikation blockieren.

Was eine ACL typischerweise prüft

Quelle, Ziel und Protokoll

Je nach ACL-Typ kann eine Regel unterschiedliche Merkmale eines Pakets auswerten. Dazu gehören insbesondere Quelladresse, Zieladresse und Protokoll. Bei erweiterten ACLs können zusätzlich auch Portnummern geprüft werden. Dadurch lässt sich sehr genau definieren, welche Kommunikation gemeint ist.

Typische Kriterien sind:

  • Quell-IP-Adresse oder Quellnetz
  • Ziel-IP-Adresse oder Zielnetz
  • Protokoll wie IP, TCP, UDP oder ICMP
  • Ports wie 80 für HTTP oder 443 für HTTPS

Je präziser diese Kriterien gewählt werden, desto gezielter wirkt die ACL.

ACLs bewerten Pakete, nicht Benutzeridentitäten

Eine klassische Cisco-ACL arbeitet auf Paketebene. Sie weiß in der Regel nicht direkt, welcher Benutzer hinter einem Host sitzt. Sie entscheidet auf Basis technischer Merkmale des Verkehrs. Genau deshalb werden ACLs oft mit VLANs, Subnetzen, Sicherheitszonen oder Managementnetzen kombiniert.

Die zwei klassischen ACL-Arten

Standard ACL

Eine Standard ACL prüft im Wesentlichen nur die Quelladresse eines Pakets. Sie ist dadurch einfacher, aber auch weniger präzise. Standard ACLs eignen sich vor allem für grobere Filterentscheidungen, etwa wenn ein bestimmtes Netz grundsätzlich auf einen Zielbereich beschränkt werden soll.

Ein einfaches Beispiel:

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Verkehr aus dem Netz 192.168.10.0/24. Alles, was nicht passt, wird am impliziten Ende der ACL verworfen.

Erweiterte ACL

Eine erweiterte ACL ist deutlich präziser. Sie kann Quelle, Ziel, Protokoll und oft auch Portnummern berücksichtigen. Dadurch eignet sie sich besonders gut für gezielte Sicherheitsregeln im Unternehmensnetz.

Ein Beispiel:

access-list 110 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 443

Diese Regel erlaubt nur HTTPS-Verkehr vom Netz 192.168.10.0/24 zu einem bestimmten Zielserver. Das ist wesentlich präziser als eine einfache Standard ACL.

Wo ACLs typischerweise eingesetzt werden

Inter-VLAN-Kommunikation kontrollieren

Ein klassischer Einsatzbereich ist die Kontrolle von Verkehr zwischen VLANs. Wenn Benutzer-VLANs, Server-VLANs, Gastnetze und Managementbereiche voneinander getrennt sind, soll nicht jede Kommunikation pauschal erlaubt sein. ACLs definieren, welche Verbindungen zwischen diesen Zonen wirklich zulässig sind.

  • Benutzer dürfen auf definierte Server zugreifen.
  • Gastnetze werden von internen Netzen getrennt.
  • Management-VLANs bleiben nur Admin-Systemen zugänglich.

Managementzugänge absichern

Ein weiterer sehr häufiger Einsatzbereich ist die Absicherung von SSH- oder anderen Managementzugängen. Ein Cisco-Gerät sollte nicht aus jedem internen Netz administrierbar sein. Mit ACLs kann der Zugriff auf VTY-Leitungen auf definierte Admin-Netze beschränkt werden.

Ein typisches Beispiel:

access-list 10 permit 192.168.99.0 0.0.0.255

line vty 0 4
 access-class 10 in
 login local
 transport input ssh

So darf nur das Netz 192.168.99.0/24 per SSH auf das Gerät zugreifen.

Verkehr an Routing-Grenzen filtern

ACLs werden oft an Router-Interfaces oder SVIs eingesetzt, um Datenverkehr an bestimmten Übergängen zu erlauben oder zu blockieren. Das ist besonders nützlich an Segmentierungsgrenzen, WAN-Anbindungen oder DMZ-ähnlichen Bereichen.

Was ACLs nicht sind

Keine vollwertige Firewall im engeren Sinn

ACLs sind ein sehr nützliches Filterwerkzeug, aber sie sind nicht automatisch gleichbedeutend mit einer modernen Stateful Firewall. Eine klassische ACL prüft Pakete anhand definierter Regeln, verfolgt aber nicht zwangsläufig komplexe Sitzungszustände oder Anwendungslogik auf demselben Niveau wie spezialisierte Sicherheitsplattformen.

Das bedeutet:

  • ACLs sind stark für gezielte Paketfilterung.
  • Sie ersetzen nicht immer alle Firewall-Funktionen.
  • Sie sind Teil eines größeren Sicherheitskonzepts.

Keine Lösung für alle Sicherheitsprobleme

ACLs allein schützen nicht vor Phishing, Malware, schwachen Passwörtern oder Zero-Day-Schwachstellen. Sie begrenzen Kommunikation und Angriffsfläche, müssen aber mit weiteren Maßnahmen wie Segmentierung, Härtung, Logging, MFA und Backup-Strategien kombiniert werden.

Wichtige Begriffe in ACL-Regeln verstehen

permit und deny

Die beiden wichtigsten Schlüsselwörter in ACLs sind permit und deny. permit erlaubt passenden Verkehr, deny blockiert ihn. Diese Regeln werden von oben nach unten abgearbeitet.

Beispiel:

access-list 120 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 120 permit ip 192.168.40.0 0.0.0.255 any

Hier wird zuerst der Zugriff aus dem Gastnetz auf ein internes Netz blockiert. Danach wird anderer Verkehr aus dem Gastnetz erlaubt.

Wildcard-Masken

In Cisco-ACLs werden häufig Wildcard-Masken verwendet. Sie ähneln Subnetzmasken, funktionieren aber logisch anders. Für viele Einsteiger ist das zunächst ungewohnt. Wichtig ist vor allem zu verstehen, dass Wildcards angeben, welche Teile einer Adresse exakt passen müssen und welche flexibel sind.

Ein klassisches Beispiel:

  • 192.168.10.0 0.0.0.255 steht für das Netz 192.168.10.0/24

Im CCNA-Kontext ist dieses Verständnis besonders wichtig, weil ACLs ohne Wildcard-Kenntnisse schwer lesbar bleiben.

host und any

Die Schlüsselwörter host und any vereinfachen ACL-Regeln. host bezeichnet eine einzelne IP-Adresse, any steht für beliebige Quellen oder Ziele.

Beispiele:

access-list 101 permit icmp any host 192.168.20.10
access-list 101 deny ip any any

Die erste Regel erlaubt ICMP zu einem bestimmten Host, die zweite verwirft alles andere.

Warum die Reihenfolge in ACLs so wichtig ist

Erste passende Regel entscheidet

Die Reihenfolge ist einer der häufigsten Stolpersteine bei ACLs. Wenn eine sehr allgemeine Regel zu früh steht, kann sie eine spätere, präzisere Regel unwirksam machen. Deshalb müssen ACLs logisch aufgebaut werden: zuerst die spezifischen Ausnahmen, dann die allgemeineren Regeln.

Ein Beispiel für ein Problem wäre:

access-list 130 permit ip any any
access-list 130 deny tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 22

Hier würde die Deny-Regel niemals greifen, weil schon die erste Zeile alles erlaubt. Genau deshalb ist die Reihenfolge sicherheitskritisch.

ACLs müssen geplant und nicht improvisiert werden

In produktiven Netzen sollten ACLs nicht spontan „mal eben“ ergänzt werden, ohne den gesamten Regelverlauf zu betrachten. Gute ACLs folgen einer klaren Logik und sind dokumentiert, nachvollziehbar und testbar.

Wo man ACLs auf Cisco-Geräten anwendet

Inbound oder outbound

ACLs werden an Interfaces oder VLAN-Schnittstellen angewendet und wirken dort entweder eingehend oder ausgehend. Das bedeutet, sie prüfen Verkehr beim Eintritt oder beim Verlassen eines Interfaces. Diese Richtung ist für Wirkung und Troubleshooting sehr wichtig.

Ein Beispiel:

interface vlan 10
 ip access-group 110 in

Hier wird die ACL 110 eingehend auf das Interface von VLAN 10 angewendet.

Die Platzierung beeinflusst Übersicht und Verhalten

Eine ACL kann technisch an mehreren sinnvollen Stellen greifen. Wo sie platziert wird, hängt von Design, Performance und Lesbarkeit ab. Wichtig ist, dass der Administrator genau weiß, an welcher Stelle der Datenverkehr geprüft wird. Ohne dieses Verständnis wird Fehlersuche schnell schwierig.

Typische Einsatzbeispiele im Unternehmensnetz

Gastnetz von internen Netzen trennen

Ein sehr typisches Beispiel ist die Isolierung eines Gäste-VLANs. Gäste sollen meist nur ins Internet, aber nicht auf interne Benutzer-, Server- oder Managementnetze zugreifen.

access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 140 permit ip 192.168.40.0 0.0.0.255 any

Das ist ein sehr anschaulicher Einstieg in den praktischen Nutzen von ACLs.

Managementzugriff nur aus Admin-Netzen erlauben

Auch der Zugriff auf Netzwerkgeräte selbst wird häufig mit ACLs geschützt. Das verhindert, dass normale Benutzer oder kompromittierte Clients Admin-Schnittstellen direkt erreichen.

Nur notwendige Serverdienste freigeben

Benutzer-VLANs sollen oft nicht pauschal auf alle Server zugreifen, sondern nur auf bestimmte Anwendungen. ACLs helfen, genau diese Kommunikation freizugeben und alles andere zu blockieren.

Wie man ACLs auf Cisco-Geräten prüft

Wichtige Show-Befehle

Zur Überprüfung von ACLs sind einige Show-Befehle besonders wichtig. Sie helfen dabei, die Regeln selbst, ihre Platzierung und teilweise auch Trefferzähler sichtbar zu machen.

show access-lists
show running-config
show ip interface brief

show access-lists zeigt definierte ACLs und oft deren Treffer. show running-config macht sichtbar, an welchen Interfaces oder Leitungen ACLs angewendet werden. show ip interface brief hilft, die zugehörigen Layer-3-Schnittstellen einzuordnen.

Trefferzähler liefern praktische Hinweise

Viele ACL-Ausgaben enthalten Trefferzahlen. Diese sind im Sicherheitsbetrieb sehr nützlich, weil sie zeigen, ob bestimmte Regeln überhaupt aktiv genutzt werden oder ob auffälliger Verkehr auf ihnen landet. Hohe Treffer auf Deny-Regeln können auf Scans, Fehlkonfigurationen oder Missbrauch hinweisen.

Typische Fehler beim Einsatz von ACLs

Zu breite Freigaben

Ein häufiger Fehler besteht darin, ACLs zu allgemein zu formulieren. Eine Regel wie permit ip any any kann in Testumgebungen nützlich sein, ist als Sicherheitsregel aber meist zu offen. Sie hebt große Teile des Schutzgedankens auf.

Reihenfolge falsch wählen

Ebenso oft werden spezifische Regeln hinter allgemeine Regeln gesetzt und dadurch faktisch wirkungslos gemacht. Die Reihenfolge entscheidet bei ACLs direkt über Erfolg oder Misserfolg.

Das implizite deny vergessen

Viele Einsteiger wundern sich, warum nach dem Eintragen weniger Regeln plötzlich unerwartet Verkehr blockiert wird. Die Ursache ist fast immer das implizite deny any am Ende. ACLs müssen deshalb vollständig und bewusst formuliert werden.

Nur technisch, nicht fachlich planen

Eine ACL sollte nicht nur aus IP-Adressen bestehen, sondern fachlich begründet sein. Warum darf VLAN 10 mit Server A über HTTPS sprechen? Warum ist Management nur aus VLAN 99 erlaubt? Gute ACLs sind technisch korrekt und fachlich nachvollziehbar.

Warum ACLs für CCNA und Netzwerksicherheit unverzichtbar sind

ACLs sind das Grundwerkzeug für kontrollierte Kommunikation

Kaum ein anderes Cisco-Thema verbindet Routing, Segmentierung und Sicherheit so direkt wie ACLs. Sie zeigen sehr anschaulich, dass Netzwerke nicht nur Pakete transportieren, sondern Kommunikation bewusst erlauben oder einschränken müssen.

  • Sie begrenzen Angriffsflächen.
  • Sie schützen Managementzugänge.
  • Sie kontrollieren Inter-VLAN-Kommunikation.
  • Sie setzen Least Privilege auf Netzwerkebene um.

Wer ACLs versteht, versteht Netzwerksicherheit deutlich besser

Am Ende ist eine ACL mehr als nur eine Liste technischer Befehle. Sie ist ein praktischer Ausdruck von Sicherheitslogik im Netzwerk. Wer versteht, was eine ACL ist, wie sie arbeitet und wie sie sinnvoll aufgebaut wird, lernt einen der wichtigsten Schritte von einfacher Konnektivität hin zu kontrollierter und professioneller Netzwerksicherheit.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt