March 29, 2026

10.3 Erweiterte ACL einfach erklärt

Eine erweiterte ACL gehört zu den wichtigsten Werkzeugen in Cisco-Netzwerken, wenn Datenverkehr nicht nur grob, sondern sehr gezielt kontrolliert werden soll. Während eine Standard ACL im Wesentlichen nur die Quelladresse eines Pakets betrachtet, kann eine erweiterte ACL deutlich präziser arbeiten. Sie prüft Quelle, Ziel, Protokoll und – je nach Verkehrstyp – auch Portnummern. Genau das macht sie für moderne Netzwerksicherheit, Segmentierung und Managementschutz so wertvoll. Für CCNA, Netzwerkpraxis und Cybersecurity ist das Verständnis erweiterter ACLs deshalb zentral. In Unternehmensnetzen reicht es selten aus, nur ganze Quellnetze zu erlauben oder zu blockieren. Viel häufiger muss festgelegt werden, dass ein Benutzer-VLAN nur per HTTPS einen bestimmten Server erreichen darf, dass Gäste keinen Zugriff auf interne Netze erhalten oder dass Managementzugriffe nur per SSH aus einem Admin-Netz erlaubt sind. Erweiterte ACLs machen genau diese präzise Steuerung möglich. Wer sie sauber versteht, kann Routing, Sicherheitszonen und Zugriffskontrolle deutlich gezielter und professioneller umsetzen.

Table of Contents

Was eine erweiterte ACL ist

Eine präzise Zugriffskontrollliste für Netzwerkverkehr

Eine erweiterte ACL, also eine Extended Access Control List, ist eine Regelbasis auf Cisco-Geräten, mit der Datenverkehr anhand mehrerer Merkmale gefiltert werden kann. Anders als die Standard ACL betrachtet sie nicht nur die Quelle, sondern typischerweise auch das Ziel, das Protokoll und bei TCP oder UDP zusätzlich die Portnummern.

Damit kann eine erweiterte ACL Fragen beantworten wie:

  • Darf dieses Quellnetz einen bestimmten Zielserver erreichen?
  • Soll nur HTTPS erlaubt sein, aber nicht SSH?
  • Darf ein Gastnetz nur ins Internet, aber nicht auf interne VLANs?
  • Soll ICMP zu einem bestimmten Netz blockiert werden?

Genau diese Präzision macht die erweiterte ACL zu einem sehr wichtigen Sicherheitswerkzeug.

Sie arbeitet paketbasiert und regelgesteuert

Wie andere ACLs auch arbeitet eine erweiterte ACL paketbasiert. Das Gerät vergleicht jedes Paket mit den definierten Einträgen und entscheidet, ob es erlaubt oder verworfen wird. Die Logik ist streng regelbasiert: Es zählt nicht, was „eigentlich gemeint“ war, sondern nur, was exakt in der ACL steht.

Warum erweiterte ACLs so wichtig sind

Netzwerke brauchen präzisere Kontrolle als nur Quellfilter

In produktiven Unternehmensnetzen ist reine Konnektivität selten genug. Unterschiedliche VLANs, Serverzonen, Managementnetze, Gäste und Spezialgeräte sollen nur genau die Kommunikation erhalten, die betrieblich notwendig ist. Eine Standard ACL wäre für viele dieser Aufgaben zu grob. Erweiterte ACLs ermöglichen es dagegen, sehr gezielt zu definieren, welcher Verkehr erlaubt oder blockiert wird.

  • Benutzer dürfen nur bestimmte Serverdienste erreichen.
  • Gäste dürfen nicht in interne Netze wechseln.
  • SSH soll nur aus Admin-Zonen erlaubt werden.
  • IoT-Geräte sollen nur definierte Ziele ansprechen dürfen.

Damit setzen erweiterte ACLs das Prinzip der geringsten Rechte direkt auf Netzwerkebene um.

Sie verbinden Routing mit Sicherheit

Ein Router oder Layer-3-Switch verbindet Netze miteinander. Eine erweiterte ACL entscheidet dabei, welche dieser Verbindungen tatsächlich erlaubt sind. Dadurch wird aus einfachem Routing eine kontrollierte und sicherheitsbewusste Kommunikation. Gerade an Inter-VLAN-Grenzen sind erweiterte ACLs deshalb besonders nützlich.

Wie eine erweiterte ACL arbeitet

Pakete werden von oben nach unten geprüft

Eine erweiterte ACL besteht aus mehreren Regeln, die in einer festen Reihenfolge abgearbeitet werden. Das Netzwerkgerät prüft ein Paket gegen den ersten Eintrag, dann gegen den zweiten und so weiter. Sobald eine Regel passt, ist die Entscheidung getroffen.

Das bedeutet:

  • Die erste passende Regel gewinnt.
  • Spätere Regeln werden danach nicht mehr geprüft.
  • Die Reihenfolge der Einträge ist sicherheitskritisch.

Gerade weil erweiterte ACLs oft viele Bedingungen enthalten, ist die Reihenfolge besonders wichtig.

Es gibt ein implizites deny am Ende

Wie bei Cisco-ACLs üblich, endet auch eine erweiterte ACL mit einem impliziten deny any. Jedes Paket, das auf keine explizite Regel passt, wird automatisch verworfen. Dieser Punkt ist essenziell, weil er erklärt, warum unvollständige ACLs plötzlich zu unerwarteten Blockaden führen können.

  • Nur ausdrücklich erlaubter Verkehr passiert.
  • Nicht definierte Kommunikation wird automatisch blockiert.
  • Eine ACL muss bewusst vollständig gedacht werden.

Was eine erweiterte ACL prüfen kann

Quelle und Ziel

Im Gegensatz zur Standard ACL kann eine erweiterte ACL sowohl die Quelladresse als auch die Zieladresse eines Pakets auswerten. Dadurch ist sie deutlich gezielter einsetzbar. Ein Netz kann also für ein bestimmtes Ziel erlaubt, für ein anderes aber blockiert werden.

Beispielhaft kann man damit definieren:

  • Benutzer-VLAN darf Server A erreichen
  • Benutzer-VLAN darf Managementnetz nicht erreichen
  • Gastnetz darf keine internen Netze ansprechen

Protokolle wie IP, TCP, UDP und ICMP

Erweiterte ACLs können außerdem unterscheiden, um welches Protokoll es sich handelt. Das ist wichtig, weil nicht jede Art von Verkehr gleich behandelt werden soll. Ein Host darf möglicherweise Webzugriffe initiieren, aber keinen Ping senden oder keinen SSH-Zugriff aufbauen.

Typische Protokolle in erweiterten ACLs sind:

  • ip für allgemeinen IP-Verkehr
  • tcp für verbindungsorientierte Dienste
  • udp für verbindungslose Dienste
  • icmp für Diagnose und Fehlermeldungen

Portnummern für Dienste

Bei TCP- und UDP-Verkehr kann eine erweiterte ACL zusätzlich Portnummern prüfen. Genau dadurch wird sie für Sicherheitsregeln besonders wertvoll, weil sich Kommunikation auf bestimmte Dienste begrenzen lässt.

Typische Beispiele:

  • Port 80 für HTTP
  • Port 443 für HTTPS
  • Port 22 für SSH
  • Port 53 für DNS

Damit lässt sich sehr präzise definieren, welcher Dienst erlaubt ist und welcher nicht.

Aufbau einer erweiterten ACL

Grundstruktur einer Regel

Eine typische Regel in einer erweiterten ACL besteht aus mehreren Bausteinen: Aktion, Protokoll, Quelle, Ziel und gegebenenfalls Port. Dadurch wird die Syntax umfangreicher als bei einer Standard ACL, aber auch deutlich mächtiger.

Ein einfaches Beispiel:

access-list 110 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 443

Diese Regel erlaubt TCP-Verkehr vom Netz 192.168.10.0/24 zu dem Host 192.168.20.10 auf Port 443, also typischerweise HTTPS.

permit und deny bleiben die Kernentscheidungen

Auch in erweiterten ACLs sind permit und deny die zentralen Schlüsselwörter. Sie bestimmen, ob ein passendes Paket erlaubt oder blockiert wird. Durch die zusätzlichen Kriterien wird aber viel genauer festgelegt, wann ein Paket tatsächlich „passt“.

Ein weiteres Beispiel:

access-list 120 deny tcp any host 192.168.99.5 eq 22

Damit wird jeder SSH-Zugriff auf einen bestimmten Managementhost blockiert.

Wildcard-Masken in erweiterten ACLs

Quell- und Zielnetze flexibel beschreiben

Wie bei Standard ACLs arbeiten auch erweiterte ACLs mit Wildcard-Masken, wenn ganze Netze beschrieben werden sollen. Dadurch lassen sich Quellen und Ziele präzise als Host, Teilnetz oder ganzes Netz definieren.

Beispiele:

  • 192.168.10.0 0.0.0.255 entspricht 192.168.10.0/24
  • host 192.168.20.10 meint genau einen Host
  • any meint jede Quelle oder jedes Ziel

Ein sicheres Lesen und Schreiben von Wildcards ist deshalb auch bei erweiterten ACLs unverzichtbar.

host und any erleichtern die Lesbarkeit

Statt immer mit vollständigen Wildcards zu arbeiten, werden häufig die Schlüsselwörter host und any verwendet. Sie machen ACLs kompakter und lesbarer, besonders bei präzisen Zieldefinitionen.

Beispiel:

access-list 130 permit icmp any host 192.168.20.10

Hier darf jeder beliebige Host ICMP an genau einen Zielhost senden.

Typische Einsatzbereiche erweiterter ACLs

Inter-VLAN-Kommunikation kontrollieren

Ein klassischer und sehr wichtiger Einsatzbereich ist die Kontrolle der Kommunikation zwischen VLANs. VLANs schaffen zwar eine logische Trennung, aber sobald Routing zwischen ihnen möglich ist, muss entschieden werden, welche Verbindungen erlaubt sind. Erweiterte ACLs können diese Kommunikation sehr präzise steuern.

  • Benutzer dürfen nur bestimmte Serverdienste nutzen.
  • Gast-VLANs werden von internen Netzen getrennt.
  • Management-VLANs sind nur für Admin-Zugriffe offen.

Genau hier entfalten erweiterte ACLs ihre größte Stärke.

Managementzugänge absichern

Auch Managementdienste wie SSH lassen sich mit erweiterten ACLs absichern. Zwar genügt für einfache Quellfilter oft eine Standard ACL, aber wenn zusätzlich bestimmte Ziele oder Protokolle präzise kontrolliert werden sollen, ist eine erweiterte ACL sinnvoll.

Serverdienste gezielt freigeben

In vielen Unternehmensnetzen sollen Clients nicht pauschal ganze Servernetze erreichen, sondern nur definierte Dienste. Erweiterte ACLs ermöglichen zum Beispiel, dass ein Benutzer-VLAN nur HTTPS zu einem Webserver und DNS zu einem Resolver senden darf, aber sonst keine breite Serverkommunikation erhält.

Praxisbeispiele für erweiterte ACLs

Nur HTTPS zu einem Server erlauben

Ein sehr typisches Beispiel ist die Freigabe eines einzelnen Dienstes zu einem definierten Ziel:

access-list 110 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 443
access-list 110 deny ip any any

Hier darf das Netz 192.168.10.0/24 nur per HTTPS zu einem bestimmten Server kommunizieren. Alles andere wird blockiert.

Gastnetz von internen Netzen trennen

Ein weiteres realistisches Beispiel ist die Trennung eines Gäste-VLANs von internen Bereichen:

access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 140 permit ip 192.168.40.0 0.0.0.255 any

Damit wird der Zugriff aus dem Gastnetz auf interne Netze blockiert, während anderer Verkehr – typischerweise in Richtung Internet – erlaubt bleibt.

SSH nur aus einem Admin-Netz zulassen

Auch gezielter Managementschutz lässt sich elegant umsetzen:

access-list 150 permit tcp 192.168.99.0 0.0.0.255 host 192.168.50.2 eq 22
access-list 150 deny ip any any

Hier darf nur das Managementnetz per SSH zu einem bestimmten Zielsystem kommunizieren.

Wo man erweiterte ACLs typischerweise platziert

Erweiterte ACLs möglichst nah an der Quelle

Die klassische Cisco-Empfehlung lautet, erweiterte ACLs möglichst nahe an der Quelle zu platzieren. Der Grund ist logisch: Wenn man sehr präzise weiß, welcher Verkehr unerwünscht ist, kann man ihn früh verwerfen, bevor er unnötig durch Teile des Netzes transportiert wird.

  • unerwünschter Verkehr wird früh gestoppt
  • Bandbreite und Ressourcen werden geschont
  • Sicherheitsgrenzen werden näher an der Quelle gezogen

Die Platzierung muss zum Design passen

Auch wenn diese Regel ein sehr guter Grundsatz ist, muss die tatsächliche Platzierung immer zum Netzdesign passen. Entscheidend ist, dass klar ist, an welchem Interface oder SVI die ACL greift und wie sich das auf Verkehrswege und Fehlersuche auswirkt.

Ein Beispiel für die Anwendung auf einem VLAN-Interface:

interface vlan 10
 ip access-group 110 in

Damit wird die ACL 110 eingehend auf das Interface von VLAN 10 angewendet.

Wichtige Unterschiede zur Standard ACL

Erweiterte ACLs sind deutlich präziser

Der wichtigste Unterschied ist der Prüfungsumfang. Eine Standard ACL betrachtet im Wesentlichen nur die Quelle. Eine erweiterte ACL kann Quelle, Ziel, Protokoll und Ports auswerten. Dadurch wird sie viel genauer und in Sicherheitsdesigns meist deutlich nützlicher.

  • Standard ACL: grober Quellfilter
  • Erweiterte ACL: präzise Verkehrssteuerung

Die größere Präzision erhöht auch die Komplexität

Mit der höheren Genauigkeit steigt aber auch die Verantwortung. Erweiterte ACLs müssen sauber geplant, dokumentiert und getestet werden. Unklare Reihenfolge, zu breite Regeln oder falsche Platzierung können schnell zu unerwarteten Blockaden oder Sicherheitslücken führen.

Typische Fehler bei erweiterten ACLs

Reihenfolge falsch wählen

Ein sehr häufiger Fehler ist, allgemeine Permit-Regeln vor spezifische Deny-Regeln zu setzen. Dann greifen die präziseren Regeln nie, weil der Verkehr schon früher erlaubt wird.

Ein Beispiel für eine problematische ACL:

access-list 160 permit ip any any
access-list 160 deny tcp any host 192.168.99.5 eq 22

Die Deny-Regel würde hier nie wirksam werden, weil schon die erste Regel alles erlaubt.

Zu breite Freigaben formulieren

Ein weiterer Fehler ist, erweiterte ACLs zu offen zu formulieren, obwohl gerade ihre Stärke in der Präzision liegt. Eine Regel wie permit ip any any kann zu Testzwecken sinnvoll sein, hebt aber in produktiven Sicherheitsdesigns fast den gesamten Nutzen der ACL auf.

Das implizite deny vergessen

Auch bei erweiterten ACLs wird häufig übersehen, dass nicht definierter Verkehr am Ende automatisch verworfen wird. Wenn notwendige Dienste nicht ausdrücklich erlaubt wurden, entstehen schnell unerwartete Störungen.

Nur technisch statt fachlich denken

Eine gute ACL besteht nicht nur aus IP-Adressen und Ports. Sie sollte auch fachlich begründet sein. Warum darf VLAN 10 per HTTPS auf Server A zugreifen, aber nicht per SSH? Warum hat das Gastnetz keinen Zugriff auf Management? Gute ACLs übersetzen echte Sicherheitsanforderungen in präzise technische Regeln.

Wie man erweiterte ACLs auf Cisco-Geräten prüft

Wichtige Show-Befehle

Zur Kontrolle erweiterter ACLs sind besonders diese Befehle nützlich:

show access-lists
show running-config
show ip interface brief

show access-lists zeigt die definierten ACLs und häufig auch Trefferzähler. show running-config macht sichtbar, wo die ACL angewendet wird. show ip interface brief hilft dabei, die betreffenden Interfaces oder VLAN-Schnittstellen im Gesamtkontext einzuordnen.

Trefferzähler liefern wertvolle Hinweise

Gerade bei erweiterten ACLs sind Trefferzahlen oft besonders hilfreich. Sie zeigen, ob eine Regel tatsächlich genutzt wird, ob ungewöhnlich viel Verkehr auf einer Deny-Regel landet oder ob eine vermeintlich wichtige Regel in der Praxis nie greift. Das ist sowohl für Sicherheit als auch für Fehlersuche sehr wertvoll.

Warum erweiterte ACLs für CCNA und Netzwerksicherheit unverzichtbar sind

Sie machen präzise Netzsicherheit praktisch umsetzbar

Erweiterte ACLs zeigen sehr deutlich, wie Netzwerksicherheit im Alltag technisch umgesetzt wird. Sie helfen, Segmentierung in echte Kommunikationsregeln zu übersetzen, Managementzugänge zu schützen und unnötigen Verkehr gezielt zu blockieren. Damit gehören sie zu den wichtigsten Werkzeugen in Cisco-basierten Netzwerken.

  • Sie kontrollieren Inter-VLAN-Kommunikation.
  • Sie schützen Managementnetze und Serverzonen.
  • Sie setzen Least Privilege auf Netzwerkebene um.
  • Sie reduzieren die Angriffsfläche präzise und nachvollziehbar.

Wer erweiterte ACLs versteht, beherrscht einen Kernbereich professioneller Netzwerkpraxis

Am Ende sind erweiterte ACLs weit mehr als nur ein Cisco-Konfigurationsbefehl. Sie sind ein direktes Werkzeug, um Sicherheitslogik im Netzwerk sichtbar und durchsetzbar zu machen. Wer sie sauber versteht, kann Kommunikation nicht nur ermöglichen, sondern bewusst steuern. Genau das ist ein wesentlicher Schritt von einfacher Konnektivität hin zu professioneller, sicherer Netzwerkinfrastruktur.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt