14.7 Was ist eine ACL? Grundlagen einfach erklärt

Eine ACL gehört zu den wichtigsten Grundlagen in der Netzwerktechnik. Sobald Datenverkehr in einem Netzwerk gezielt erlaubt, blockiert oder eingeschränkt werden soll, kommt häufig eine Access Control List zum Einsatz. Auf Cisco-Routern und Cisco-Switches ist die ACL seit vielen Jahren ein zentrales Werkzeug, um Traffic zu filtern, Zugriffe zu steuern und Netzwerke strukturierter abzusichern. Gerade für CCNA- und CCNP-Lernende ist das Thema essenziell, weil ACLs in vielen Bereichen vorkommen: beim Schutz von Management-Zugängen, bei der Filterung zwischen VLANs, bei NAT, beim Routing und bei grundlegenden Sicherheitskonzepten. Wer Netzwerke professionell verstehen will, sollte deshalb genau wissen, was eine ACL ist, wie sie arbeitet und worauf es in der Praxis ankommt.

Was ist eine ACL?

ACL steht für Access Control List. Eine ACL ist eine geordnete Liste von Regeln, mit denen ein Router oder Layer-3-Switch entscheidet, ob bestimmter Netzwerkverkehr erlaubt oder blockiert wird. Jede Regel prüft bestimmte Merkmale eines Pakets, zum Beispiel die Quell-IP-Adresse, die Ziel-IP-Adresse oder bei erweiterten ACLs auch das verwendete Protokoll und die Portnummer.

Eine ACL funktioniert damit ähnlich wie ein Filter. Trifft ein Paket auf ein Interface oder einen Dienst, auf dem eine ACL aktiv ist, wird das Paket Zeile für Zeile mit den ACL-Einträgen verglichen. Sobald eine passende Regel gefunden wird, wird die dazugehörige Aktion ausgeführt: permit oder deny.

Die Grundidee einer ACL

• Pakete werden anhand definierter Regeln geprüft
• Passende Pakete können erlaubt oder blockiert werden
• Die Prüfung erfolgt in festgelegter Reihenfolge
• ACLs werden auf Interfaces oder Dienste angewendet

Warum ACLs in Netzwerken so wichtig sind

In einem einfachen Netzwerk ohne ACLs wird Routing-Verkehr oft sehr offen behandelt. Solange ein Pfad existiert, können Geräte miteinander kommunizieren. In der Praxis ist das aber selten gewünscht. Nicht jedes Netz soll jedes andere Netz erreichen dürfen. Auch Management-Zugänge auf Router und Switches sollen meist nur von bestimmten Admin-Systemen erlaubt werden.

ACLs schaffen genau hier Kontrolle. Sie erlauben es, Zugriffe gezielt einzuschränken und den Datenfluss im Netzwerk bewusst zu steuern. Damit sind sie nicht nur ein Sicherheitswerkzeug, sondern auch ein Designinstrument für saubere Segmentierung und Policy-Durchsetzung.

Typische Einsatzbereiche von ACLs

• Blockieren unerwünschter Kommunikation zwischen Netzen
• Erlauben bestimmter Management-Zugriffe per SSH oder Telnet
• Filtern von Datenverkehr auf Router-Interfaces
• Steuern, welche Netze NAT nutzen dürfen
• Absicherung von VLAN-Übergängen auf Layer-3-Geräten
• Grundlegende Zugriffskontrolle in kleinen und mittleren Netzwerken

Wie eine ACL grundsätzlich arbeitet

Eine ACL wird immer von oben nach unten verarbeitet. Das ist einer der wichtigsten Punkte überhaupt. Sobald ein Paket mit einer Zeile der ACL übereinstimmt, wird die Aktion dieser Zeile sofort angewendet. Danach wird das Paket nicht mehr mit weiteren Zeilen verglichen.

Das bedeutet: Die Reihenfolge der Einträge ist entscheidend. Eine zu allgemein formulierte Regel am Anfang kann spätere, spezifischere Regeln wirkungslos machen. Genau deshalb ist ACL-Design immer auch eine Frage der richtigen Reihenfolge.

Verarbeitungslogik einer ACL

• Ein Paket trifft auf die ACL
• Die Regeln werden von oben nach unten geprüft
• Die erste passende Regel entscheidet
• Danach endet die Auswertung für dieses Paket

Wichtige Konsequenz für die Praxis

Wenn ein Paket auf keine explizite permit-Regel trifft, wird es am Ende verworfen. Der Grund dafür ist das sogenannte implizite deny.

Was bedeutet das implizite deny?

Jede ACL endet logisch mit einem unsichtbaren Eintrag: deny any oder bei erweiterten ACLs sinngemäß deny ip any any. Dieser Eintrag steht nicht unbedingt sichtbar in der Konfiguration, wirkt aber immer im Hintergrund. Alles, was nicht vorher ausdrücklich erlaubt wurde, wird am Ende blockiert.

Das ist einer der häufigsten Gründe, warum ACLs für Anfänger zunächst „nicht funktionieren“. In vielen Fällen wurde nur vergessen, den gewünschten Traffic explizit mit permit zuzulassen.

Warum das implizite deny so wichtig ist

• Nicht explizit erlaubter Traffic wird automatisch verworfen
• ACLs arbeiten nach dem Prinzip „nur definierte Ausnahmen sind erlaubt“
• Fehlende Permit-Regeln können legitimen Verkehr blockieren

Ein einfaches Beispiel

access-list 10 permit 192.168.10.0 0.0.0.255

Diese ACL erlaubt nur Pakete, die von 192.168.10.0/24 stammen. Alles andere wird durch das implizite deny blockiert, auch wenn dieser Eintrag nicht sichtbar konfiguriert wurde.

Standard ACL und Extended ACL einfach erklärt

Auf Cisco-Geräten unterscheidet man grundsätzlich zwischen Standard ACLs und Extended ACLs. Beide Typen filtern Traffic, aber sie arbeiten mit unterschiedlicher Detailtiefe.

Standard ACL

Eine Standard ACL prüft nur die Quell-IP-Adresse eines Pakets. Sie eignet sich für einfache Filterregeln, wenn es nur darauf ankommt, aus welchem Netz oder von welchem Host ein Paket stammt.

Eigenschaften einer Standard ACL

• Filtert nur anhand der Quelladresse
• Einfach zu konfigurieren
• Begrenzte Detailtiefe
• Oft für einfache Zugriffskontrolle oder VTY-Schutz genutzt

Extended ACL

Eine Extended ACL ist deutlich flexibler. Sie kann zusätzlich zur Quelladresse auch die Zieladresse, das Layer-3-Protokoll und bei TCP oder UDP sogar Portnummern prüfen. Dadurch lassen sich sehr präzise Regeln erstellen.

Eigenschaften einer Extended ACL

• Filtert Quelle und Ziel
• Unterscheidet zwischen IP, TCP, UDP, ICMP und weiteren Protokollen
• Kann Portnummern wie 80, 443 oder 22 auswerten
• Ideal für fein granularen Traffic-Filter

Wie ACLs auf Cisco-Geräten aussehen

ACLs können auf Cisco IOS nummeriert oder benannt konfiguriert werden. Historisch wurden häufig nummerierte ACLs verwendet. Heute sind benannte ACLs oft übersichtlicher, vor allem in größeren Konfigurationen.

Beispiel für eine Standard ACL

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Traffic von allen Hosts aus dem Netz 192.168.10.0/24.

Beispiel für eine Extended ACL

access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80

Diese Regel erlaubt TCP-Traffic aus 192.168.10.0/24 zu beliebigen Zielen, wenn der Zielport 80 ist, also typischerweise HTTP.

Beispiel für eine benannte ACL

ip access-list extended WEB-FILTER
 permit tcp 192.168.10.0 0.0.0.255 any eq 80
 permit tcp 192.168.10.0 0.0.0.255 any eq 443
 deny ip any any

Benannte ACLs sind lesbarer und erleichtern spätere Änderungen, weil einzelne Zeilen besser dokumentiert und logisch zusammengefasst werden können.

Was bedeuten permit und deny?

Die beiden wichtigsten Aktionen in einer ACL sind permit und deny. Damit wird festgelegt, ob der zur Regel passende Traffic zugelassen oder blockiert wird.

permit

Mit permit wird der passende Traffic erlaubt. Das Paket darf dann den Filter passieren.

deny

Mit deny wird der passende Traffic blockiert. Das Paket wird verworfen.

Praxisbeispiel

access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq 23
access-list 110 permit ip 192.168.10.0 0.0.0.255 any

Diese ACL blockiert Telnet-Verbindungen aus dem Netz 192.168.10.0/24 zu beliebigen Zielen, erlaubt aber den restlichen IP-Verkehr aus diesem Netz.

Wildcards in ACLs einfach erklärt

Bei Cisco-ACLs wird häufig mit Wildcard Masks gearbeitet. Eine Wildcard-Maske ist nicht dasselbe wie eine normale Subnetzmaske. Sie legt fest, welche Bits einer Adresse exakt übereinstimmen müssen und welche ignoriert werden dürfen.

Grundprinzip der Wildcard

• 0 bedeutet: Dieses Bit muss genau passen
• 1 bedeutet: Dieses Bit wird ignoriert

Typische Beispiele

• 0.0.0.0 = exakter Einzelhost
• 0.0.0.255 = ganzes /24-Netz

Host und Any

Zur Vereinfachung stellt Cisco praktische Kürzel bereit:

• host 192.168.10.10 entspricht 192.168.10.10 0.0.0.0
• any entspricht 0.0.0.0 255.255.255.255

Beispiel

access-list 20 permit host 192.168.10.10

Diese Regel erlaubt nur genau den Host 192.168.10.10.

Wo ACLs angewendet werden

Eine ACL allein bewirkt noch nichts. Erst wenn sie auf ein Interface, auf VTY-Lines oder auf einen anderen Dienst angewendet wird, beeinflusst sie tatsächlich den Traffic. Auf Router-Interfaces wird eine ACL üblicherweise in eingehender oder ausgehender Richtung aktiviert.

Inbound und Outbound

• Inbound: Die ACL prüft Pakete, bevor sie durch den Router weiterverarbeitet werden
• Outbound: Die ACL prüft Pakete, bevor sie das Interface verlassen

Beispiel für das Anwenden einer ACL

interface GigabitEthernet0/0
 ip access-group 101 in

Damit wird ACL 101 eingehend auf dem Interface GigabitEthernet0/0 aktiviert.

Warum die Richtung wichtig ist

Dieselbe ACL kann je nach Richtung völlig unterschiedliche Auswirkungen haben. Deshalb muss immer genau überlegt werden, an welchem Interface und in welcher Richtung der Filter sinnvoll ist.

Standard ACLs in der Praxis

Standard ACLs werden oft dort eingesetzt, wo nur die Quelle wichtig ist. Ein klassisches Beispiel ist die Absicherung des administrativen Zugriffs auf Router oder Switches. So kann per Standard ACL festgelegt werden, dass nur bestimmte Admin-Netze eine SSH-Verbindung zu den VTY-Leitungen aufbauen dürfen.

Beispiel für VTY-Schutz per Standard ACL

access-list 15 permit 192.168.10.0 0.0.0.255

line vty 0 4
 access-class 15 in
 transport input ssh

Hier dürfen nur Hosts aus dem Netz 192.168.10.0/24 auf die VTY-Leitungen zugreifen. Andere Quellen werden blockiert.

Typische Einsatzzwecke von Standard ACLs

• Schutz von SSH- oder Telnet-Zugängen
• Einfache Quellfilterung
• NAT-Matching in einfachen Konfigurationen

Extended ACLs in der Praxis

Extended ACLs sind die deutlich mächtigere Variante. Sie eignen sich überall dort, wo nicht nur die Quelle, sondern auch Ziel, Protokoll und Port relevant sind. In der Praxis sind sie der Standard für gezielte Verkehrssteuerung.

Beispiel: Nur Webzugriff erlauben

ip access-list extended INTERNET-FILTER
 permit tcp 192.168.10.0 0.0.0.255 any eq 80
 permit tcp 192.168.10.0 0.0.0.255 any eq 443
 deny ip any any

Diese ACL erlaubt aus dem internen Netz nur HTTP und HTTPS zu beliebigen Zielen. Alles andere wird blockiert.

Typische Einsatzzwecke von Extended ACLs

• Filtern bestimmter Dienste wie HTTP, HTTPS oder SSH
• Blockieren einzelner Protokolle oder Ports
• Segmentierung zwischen VLANs
• Gezielte Zugriffskontrolle zwischen Server- und Client-Netzen

Wichtige Regeln für die Platzierung von ACLs

Bei ACLs spielt nicht nur der Inhalt der Regeln eine Rolle, sondern auch ihre Position im Netzwerk. Eine falsch platzierte ACL kann unnötig viel Traffic prüfen oder legitime Kommunikation an der falschen Stelle blockieren.

Grundregel für Standard ACLs

Standard ACLs werden meist möglichst nah am Ziel platziert, weil sie nur die Quelle kennen. Würde man sie zu nah an der Quelle einsetzen, könnte man versehentlich zu viel Traffic blockieren.

Grundregel für Extended ACLs

Extended ACLs werden meist möglichst nah an der Quelle platziert. Da sie präzise filtern können, ist es effizient, unerwünschten Traffic schon früh im Pfad zu stoppen.

Warum diese Regel sinnvoll ist

• Unerwünschter Traffic wird möglichst früh blockiert
• Ressourcen im Netzwerk werden geschont
• Die Policy wird kontrollierter und klarer umgesetzt

Häufige Fehler bei ACLs

ACLs gehören zu den Themen, bei denen schon kleine Konfigurationsfehler große Auswirkungen haben können. Besonders häufig sind Probleme mit der Reihenfolge der Regeln, mit dem impliziten deny oder mit einer falsch gewählten Richtung am Interface.

Typische Fehlerquellen

• Permit-Regel fehlt und Traffic wird durch implizites deny blockiert
• Regeln stehen in falscher Reihenfolge
• ACL wurde auf das falsche Interface angewendet
• Inbound statt outbound oder umgekehrt verwendet
• Wildcard-Maske ist falsch
• Zu allgemeine Regel überschreibt speziellere Regeln

Praxisbeispiel für falsche Reihenfolge

access-list 120 permit ip any any
access-list 120 deny tcp 192.168.10.0 0.0.0.255 any eq 23

Hier ist die zweite Regel wirkungslos, weil bereits die erste Regel allen IP-Verkehr erlaubt. Die spezifische Telnet-Sperre kommt nie zum Zug.

ACLs überprüfen und verifizieren

Nach der Konfiguration sollte eine ACL immer geprüft werden. Cisco IOS bietet dafür mehrere Show-Befehle, mit denen sich Inhalt, Anwendung und Trefferzahlen kontrollieren lassen.

Wichtige Show-Befehle

show access-lists
show ip interface
show running-config | section access-list
show running-config | section ip access-list

show access-lists

Dieser Befehl zeigt die konfigurierten ACLs und oft auch, wie viele Pakete auf die jeweiligen Regeln getroffen haben. Diese Trefferzähler sind in der Fehlersuche besonders hilfreich.

show ip interface

Mit diesem Befehl lässt sich prüfen, ob und in welcher Richtung eine ACL auf einem Interface angewendet wurde.

Wichtige Prüffragen

• Ist die richtige ACL auf dem richtigen Interface aktiv?
• Stimmt die Richtung der Anwendung?
• Treffen Pakete auf die erwarteten Zeilen?
• Blockiert das implizite deny unerwarteten Traffic?

ACLs und Sicherheit richtig einordnen

ACLs sind ein wichtiges Sicherheitswerkzeug, aber sie sind keine vollständige Firewall. Eine klassische Router-ACL ist in der Regel zustandslos. Sie bewertet Pakete anhand statischer Regeln, merkt sich aber nicht automatisch den Zustand einer Sitzung wie eine Stateful Firewall.

Trotzdem sind ACLs in vielen Netzwerken unverzichtbar. Sie bilden oft die erste Kontrollschicht, um offensichtlichen unerwünschten Traffic zu stoppen, Management-Zugriffe zu begrenzen oder den Verkehr zwischen Segmenten strukturiert zu steuern.

Was ACLs gut können

• Einfache bis mittlere Zugriffskontrolle
• Gezielte Filterung nach Quelle, Ziel, Protokoll und Port
• Schutz von Management-Interfaces
• Traffic-Steuerung auf Routing-Geräten

Was ACLs nicht ersetzen

• Stateful Inspection
• Moderne Next-Generation-Firewall-Funktionen
• Tiefgehende Application-Analyse
• Umfassende Sicherheitsarchitektur

Warum ACLs für CCNA und Praxis so wichtig sind

ACLs gehören zu den absoluten Kernthemen in Cisco-Netzwerken. Sie verbinden Routing, Sicherheit und Traffic-Steuerung auf eine sehr direkte Weise. Schon in kleinen Labornetzen zeigen sie, wie granular sich Kommunikation kontrollieren lässt. In realen Unternehmensnetzwerken bilden sie oft die Grundlage für Management-Schutz, Basis-Segmentierung und klare Zugriffsregeln.

Wer ACLs sicher beherrscht, versteht nicht nur, wie Pakete gefiltert werden, sondern auch, wie man Netzwerke strukturiert, absichert und kontrollierbar macht. Genau deshalb sind ACLs ein zentrales Thema für den praktischen Netzwerkbetrieb und für jede fundierte Cisco-Ausbildung.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.