March 29, 2026

10.2 Standard ACL verständlich erklärt

Eine Standard ACL gehört zu den grundlegenden Werkzeugen in Cisco-Netzwerken, wenn es darum geht, Datenverkehr gezielt zu erlauben oder zu blockieren. Gerade für CCNA, Netzwerktechnik und Sicherheitsgrundlagen ist das Verständnis von Standard Access Control Lists besonders wichtig, weil sie den Einstieg in die paketbasierte Zugriffskontrolle bilden. Viele Einsteiger lernen zunächst, dass Router Pakete weiterleiten und Switches Geräte verbinden. In realen Unternehmensnetzen reicht diese reine Konnektivität aber nicht aus. Es muss entschieden werden, welche Netzbereiche miteinander kommunizieren dürfen und welche nicht. Genau hier kommen ACLs ins Spiel. Die Standard ACL ist dabei die einfachere der klassischen ACL-Arten in Cisco-Umgebungen. Sie prüft im Wesentlichen nur die Quell-IP-Adresse eines Pakets und trifft auf dieser Basis eine Erlaubnis- oder Verweigerungsentscheidung. Auch wenn sie funktional einfacher ist als eine erweiterte ACL, ist sie in der Praxis sehr nützlich, wenn man ihre Stärken und Grenzen versteht. Wer Standard ACLs sauber beherrscht, legt einen wichtigen Grundstein für Routing, Segmentierung, Managementschutz und kontrollierte Netzkommunikation.

Table of Contents

Was eine Standard ACL überhaupt ist

Eine einfache Zugriffskontrollliste mit Fokus auf die Quelle

Eine Standard ACL ist eine Access Control List, die in erster Linie die Quelladresse eines Pakets prüft. Das bedeutet: Das Netzwerkgerät interessiert sich bei der Entscheidung nicht dafür, welches Ziel angesprochen wird oder welches Protokoll verwendet wird. Es betrachtet vor allem, aus welchem Host oder Netz der Verkehr stammt.

Vereinfacht beantwortet eine Standard ACL Fragen wie:

  • Darf Verkehr aus diesem Quellnetz passieren?
  • Soll ein bestimmter Host grundsätzlich blockiert werden?
  • Darf nur ein definierter Quellenbereich weitergeleitet werden?

Damit ist die Standard ACL ein eher grobes, aber oft sehr nützliches Filterinstrument.

Standard ACLs sind einfacher als erweiterte ACLs

Im Vergleich zu erweiterten ACLs besitzen Standard ACLs deutlich weniger Prüfmöglichkeiten. Sie betrachten normalerweise nicht das Ziel, keine TCP- oder UDP-Ports und keine detaillierte Protokollauswahl. Genau das macht sie leicht verständlich, aber auch weniger präzise. Ihre Stärke liegt dort, wo eine grobe Filterentscheidung ausreichend ist.

Warum Standard ACLs wichtig sind

Sie sind der Einstieg in die paketbasierte Zugriffskontrolle

Für viele Lernende sind Standard ACLs der erste direkte Kontakt mit dem Thema Verkehrsfilterung auf Cisco-Geräten. Sie zeigen sehr anschaulich, dass ein Router oder Layer-3-Gerät nicht jeden Verkehr automatisch weiterleiten muss. Stattdessen kann das Gerät anhand definierter Regeln entscheiden, welche Quellen zugelassen oder blockiert werden.

  • Sie machen Netzsicherheit praktisch greifbar.
  • Sie verbinden Routing mit Zugriffskontrolle.
  • Sie führen in das Denken von Permit- und Deny-Regeln ein.

Gerade im CCNA-Kontext sind sie deshalb didaktisch besonders wertvoll.

Auch einfache Filter können große Wirkung haben

Obwohl Standard ACLs technisch simpel wirken, können sie sehr nützlich sein. Wenn etwa ein bestimmtes Netz nicht zu einem Zielbereich gelangen soll oder wenn der Zugriff auf Managementpfade nur für ein Admin-Netz erlaubt werden soll, reicht eine Standard ACL oft aus. Nicht jede Sicherheitsaufgabe braucht sofort eine komplexe Regelbasis.

Wie eine Standard ACL arbeitet

Pakete werden anhand der Quelladresse bewertet

Eine Standard ACL prüft Pakete von oben nach unten gegen ihre definierten Regeln. Jede Regel enthält typischerweise ein permit oder deny und eine Quelladresse oder ein Quellnetz. Sobald eine Regel auf das Paket passt, ist die Entscheidung gefallen.

Das bedeutet in der Praxis:

  • Die erste passende Regel gewinnt.
  • Spätere Regeln werden danach nicht mehr geprüft.
  • Die Reihenfolge der Einträge ist entscheidend.

Diese Logik ist bei allen ACLs wichtig, bei Standard ACLs aber besonders leicht nachvollziehbar.

Am Ende gibt es ein implizites deny

Wie auch andere Cisco-ACLs besitzt die Standard ACL am Ende ein implizites deny any. Das bedeutet: Alles, was nicht ausdrücklich erlaubt wurde, wird automatisch verworfen. Dieser Punkt ist besonders wichtig, weil er erklärt, warum eine scheinbar kurze ACL plötzlich mehr Verkehr blockiert als erwartet.

  • Nur explizit erlaubter Verkehr passiert.
  • Nicht passende Pakete werden am Ende verworfen.
  • Unvollständige ACLs können unerwartete Seiteneffekte haben.

Aufbau einer Standard ACL

permit und deny als Grundentscheidungen

Die zentralen Schlüsselwörter einer Standard ACL sind permit und deny. Mit permit wird passender Verkehr erlaubt, mit deny wird er blockiert. Da Standard ACLs nur mit der Quelle arbeiten, sind die Regeln meist sehr kompakt.

Ein einfaches Beispiel:

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Verkehr aus dem Netz 192.168.10.0/24. Alles andere würde später am impliziten Ende verworfen, wenn keine weiteren Permit-Regeln folgen.

Host und any erleichtern die Formulierung

Zur Vereinfachung können in Standard ACLs auch die Schlüsselwörter host und any verwendet werden. host steht für genau eine IP-Adresse, any für beliebige Quellen.

Beispiele:

access-list 10 deny host 192.168.10.50
access-list 10 permit any

In diesem Beispiel wird genau ein Host blockiert, während alle anderen Quellen erlaubt werden.

Wildcard-Masken bei Standard ACLs verstehen

Die Wildcard-Maske definiert, welche Bits relevant sind

Ein wichtiger Bestandteil von Cisco-ACLs ist die Wildcard-Maske. Sie sieht ähnlich aus wie eine Subnetzmaske, funktioniert aber anders. Während eine Subnetzmaske Netz- und Hostanteile klassisch trennt, beschreibt die Wildcard, welche Bits exakt passen müssen und welche flexibel sein dürfen.

Ein Standardbeispiel:

  • 192.168.10.0 0.0.0.255 beschreibt das Netz 192.168.10.0/24

Die ersten drei Oktette müssen exakt passen, das letzte darf variieren.

Ohne Wildcard-Verständnis bleiben ACLs schwer lesbar

Gerade für Einsteiger ist die Wildcard oft ungewohnt. Sie ist aber zentral, um Standard ACLs sinnvoll lesen und schreiben zu können. Wer sie versteht, erkennt schnell, ob eine Regel einen einzelnen Host, ein kleines Teilnetz oder ein ganzes Netz umfasst.

Ein weiteres Beispiel:

access-list 15 permit 192.168.0.0 0.0.255.255

Diese Regel erlaubt alle Quellen aus dem Bereich 192.168.0.0/16.

Typische Einsatzszenarien für Standard ACLs

Grobe Einschränkung bestimmter Quellnetze

Standard ACLs sind besonders nützlich, wenn nur anhand der Quelle entschieden werden soll, ob Verkehr weitergeleitet wird. Das ist oft dann sinnvoll, wenn ein bestimmtes Netz grundsätzlich Zugriff auf einen Zielbereich erhalten oder eben nicht erhalten soll.

Typische Beispiele:

  • Nur das Admin-Netz darf Managementzugang erhalten.
  • Ein bestimmtes Alt-Netz soll von einer Route ausgeschlossen werden.
  • Ein einzelner Host soll von der Weiterleitung ausgenommen werden.

Managementzugänge beschränken

Ein sehr verbreiteter Einsatzbereich ist die Einschränkung des Zugriffs auf VTY-Leitungen. Hier reicht eine Standard ACL häufig aus, weil nur gesteuert werden muss, aus welchen Quellnetzen überhaupt eine SSH-Verbindung kommen darf.

Beispiel:

access-list 10 permit 192.168.99.0 0.0.0.255

line vty 0 4
 access-class 10 in
 login local
 transport input ssh

Damit wird der Managementzugang auf das Netz 192.168.99.0/24 beschränkt.

Wo Standard ACLs angewendet werden

An Interfaces oder auf VTY-Leitungen

Standard ACLs können auf Cisco-Geräten an unterschiedlichen Stellen eingesetzt werden. Besonders typisch ist die Anwendung an Layer-3-Interfaces oder auf VTY-Leitungen. Je nach Einsatzort kontrollieren sie entweder normalen Datenverkehr oder administrative Zugriffe.

Ein Beispiel an einem Interface:

interface gigabitethernet0/0
 ip access-group 10 in

Hier wird ACL 10 eingehend auf dem Interface angewendet.

Ein Beispiel auf den VTY-Leitungen wurde bereits gezeigt. Dort wirkt sie nicht auf normalen Routingverkehr, sondern auf den Managementzugang selbst.

Die Richtung ist sicherheitsrelevant

ACLs können eingehend oder ausgehend wirken. Bei Standard ACLs ist es wie bei anderen ACLs wichtig zu wissen, in welche Richtung der Verkehr geprüft wird. Sonst entstehen leicht Missverständnisse bei der Fehlersuche oder in der Sicherheitsanalyse.

Warum Standard ACLs oft nahe am Ziel platziert werden sollten

Da sie nur die Quelle prüfen, sind sie relativ grob

Weil Standard ACLs nicht das Ziel berücksichtigen, können sie ungewollt zu viel Verkehr blockieren, wenn sie an ungeeigneter Stelle eingesetzt werden. Aus diesem Grund gilt die klassische Empfehlung, Standard ACLs möglichst nah am Ziel zu platzieren. So wird vermieden, dass Verkehr schon früh verworfen wird, obwohl er zu anderen Zielen vielleicht erlaubt sein sollte.

  • Sie blockieren ganze Quellenbereiche.
  • Sie unterscheiden nicht zwischen verschiedenen Zielsystemen.
  • Eine falsche Platzierung kann legitime Kommunikation unnötig verhindern.

Die Platzierungsregel ist ein wichtiges Designprinzip

Für CCNA-Lernende ist diese Regel besonders wichtig: Standard ACLs eher in Zielnähe, erweiterte ACLs eher in Quellnähe. Auch wenn reale Designs davon abweichen können, ist dieses Prinzip ein sehr guter Ausgangspunkt für saubere Planung.

Einfaches Praxisbeispiel

Nur ein Admin-Netz darf ein internes Managementsegment erreichen

Angenommen, ein Unternehmen besitzt ein Managementnetz 192.168.99.0/24. Nur die IT-Abteilung aus dem Netz 192.168.50.0/24 soll Zugriff erhalten. Eine einfache Standard ACL könnte so aussehen:

access-list 12 permit 192.168.50.0 0.0.0.255
access-list 12 deny any

Wird diese ACL an der passenden Schnittstelle in Richtung des Zielbereichs angewendet, ist nur das Admin-Netz zugelassen.

Der Nutzen liegt in der klaren Begrenzung der Quelle

Dieses Beispiel zeigt gut, wofür Standard ACLs geeignet sind: Die Entscheidung ist einfach, weil nur ein einziges Quellnetz grundsätzlich erlaubt sein soll. Es muss nicht unterschieden werden, welches Protokoll oder welcher Zielhost betroffen ist. Genau für solche groben Filter sind Standard ACLs sinnvoll.

Grenzen der Standard ACL

Keine Prüfung von Zieladressen oder Ports

Der größte Nachteil der Standard ACL ist ihre begrenzte Präzision. Sie kann nicht unterscheiden, ob ein Host nur einen Server oder alle Server ansprechen will, ob es um HTTP, SSH oder ICMP geht oder ob nur ein einzelner Zielport relevant ist. Dadurch ist sie für feinere Sicherheitsregeln ungeeignet.

  • keine Zielprüfung
  • keine Portprüfung
  • keine echte Anwendungsdifferenzierung

Wenn genauere Kontrolle erforderlich ist, wird meist eine erweiterte ACL benötigt.

Nicht jede Sicherheitsaufgabe lässt sich damit sinnvoll lösen

Für viele Inter-VLAN-Szenarien, Serverzugriffe oder Protokollfilter ist eine Standard ACL zu grob. Sie kann zwar ganze Quellen einschränken, aber keine feingranularen Kommunikationsmuster definieren. Deshalb sollte sie bewusst und nur dort eingesetzt werden, wo ihre Einfachheit tatsächlich ein Vorteil ist.

Unterschied zwischen Standard ACL und erweiterter ACL

Standard ACL ist grob, erweiterte ACL ist präzise

Der wichtigste Unterschied liegt im Prüfungsumfang:

  • Standard ACL: prüft im Wesentlichen nur die Quelle
  • Erweiterte ACL: prüft Quelle, Ziel, Protokoll und oft Ports

Standard ACLs sind daher ideal für einfache Quellfilter. Erweiterte ACLs sind besser geeignet, wenn Verkehr gezielt nach Dienst und Ziel differenziert werden soll.

Beide ACL-Arten haben ihren Platz

Standard ACLs sind nicht „veraltet“ oder grundsätzlich schlechter. Sie sind einfach anders gedacht. Gerade für Managementzugriffe, grobe Quellbegrenzung oder grundlegendes Routing-Filtering können sie sehr sinnvoll sein.

Typische Fehler beim Einsatz von Standard ACLs

Reihenfolge falsch wählen

Wie bei allen ACLs ist die Reihenfolge kritisch. Wenn zu früh eine allgemeine Regel gesetzt wird, kann sie spätere, spezifischere Regeln unwirksam machen.

Ein problematisches Beispiel:

access-list 10 permit any
access-list 10 deny host 192.168.10.50

Hier würde der Deny-Eintrag niemals greifen, weil bereits die erste Regel alles erlaubt.

Das implizite deny vergessen

Ein weiterer häufiger Fehler ist, das implizite Ende der ACL nicht zu berücksichtigen. Wenn nur ein einziges Netz erlaubt wird und keine weitere Permit-Regel folgt, wird sämtlicher anderer Verkehr blockiert. Das ist manchmal gewollt, manchmal aber auch eine unbeabsichtigte Betriebsstörung.

Standard ACL an ungeeigneter Stelle einsetzen

Da Standard ACLs nur die Quelle bewerten, können sie an falscher Position zu viel Verkehr blockieren. Deshalb ist ihre Platzierung besonders wichtig. Wer nur grob filtert, muss genau überlegen, an welchem Interface oder Pfad diese Grobfilterung sinnvoll ist.

Wie man Standard ACLs auf Cisco-Geräten prüft

Wichtige Show-Befehle

Zur Kontrolle von Standard ACLs sind besonders diese Befehle nützlich:

show access-lists
show running-config
show ip interface brief

show access-lists zeigt die definierten ACLs und oft deren Trefferzähler. show running-config macht sichtbar, wo die ACL angewendet wird. show ip interface brief hilft, die betreffenden Interfaces und Layer-3-Strukturen einzuordnen.

Trefferzähler helfen bei der praktischen Bewertung

Wenn eine Standard ACL bereits aktiv ist, können Trefferzähler Hinweise darauf geben, ob die Regel tatsächlich wirksam ist oder ob unerwartet viel Verkehr auf einer Deny-Regel landet. Gerade bei Managementzugängen ist das im laufenden Betrieb sehr nützlich.

Warum Standard ACLs für CCNA und Netzwerkpraxis unverzichtbar sind

Sie lehren die Grundlogik von Permit, Deny und Reihenfolge

Standard ACLs sind didaktisch so wichtig, weil sie die Kernlogik der Zugriffskontrolle besonders klar zeigen. Man lernt, dass Pakete nicht einfach durchgeleitet werden, sondern Regeln folgen. Man lernt, dass Reihenfolge zählt, dass ein implizites deny existiert und dass Netzkommunikation bewusst gesteuert werden kann.

  • Quelle wird gezielt gefiltert
  • Reihenfolge entscheidet
  • implizites deny ist immer relevant
  • Platzierung beeinflusst die Wirkung

Wer Standard ACLs versteht, denkt Netzkommunikation bewusster

Am Ende ist die Standard ACL mehr als nur ein einfacher Cisco-Befehl. Sie ist ein Einstieg in die Denkweise moderner Netzwerksicherheit: Kommunikation wird nicht pauschal vertraut, sondern anhand definierter Regeln bewertet. Wer Standard ACLs sauber versteht, legt damit eine wichtige Grundlage für erweiterte ACLs, VLAN-Segmentierung, Managementschutz und professionelle Netzwerkadministration.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt