March 28, 2026

14.8 Standard ACL verständlich erklärt

Die Standard ACL gehört zu den grundlegenden Werkzeugen auf Cisco-Routern und Layer-3-Switches, wenn Netzwerkzugriffe einfach und gezielt gesteuert werden sollen. Gerade für Einsteiger im Bereich Routing und Security ist sie ein wichtiges Thema, weil sie die Basis für das Verständnis von Access Control Lists bildet. Eine Standard ACL ist bewusst einfacher aufgebaut als eine Extended ACL: Sie prüft ausschließlich die Quell-IP-Adresse eines Pakets und entscheidet dann, ob der Traffic erlaubt oder blockiert wird. Genau diese Einfachheit macht sie leicht verständlich, aber auch funktional begrenzt. Wer Cisco-Netzwerke professionell betreiben oder eine CCNA- beziehungsweise CCNP-Prüfung vorbereiten möchte, sollte deshalb genau wissen, was eine Standard ACL ist, wie sie funktioniert, wo sie eingesetzt wird und welche typischen Fehler in der Praxis auftreten.

Table of Contents

Was ist eine Standard ACL?

Eine Standard ACL ist eine Access Control List, die Pakete ausschließlich anhand ihrer Quell-IP-Adresse filtert. Das bedeutet: Der Router oder Layer-3-Switch schaut nur darauf, von welchem Host oder aus welchem Netzwerk ein Paket stammt. Zieladresse, Protokolltyp oder Portnummer spielen bei einer Standard ACL keine Rolle.

Diese Einschränkung ist gleichzeitig ihre größte Stärke und ihre größte Schwäche. Einerseits ist die Konfiguration übersichtlich und leicht zu verstehen. Andererseits kann eine Standard ACL nicht zwischen verschiedenen Diensten wie HTTP, HTTPS, ICMP oder SSH unterscheiden. Sie beantwortet im Kern nur eine Frage: Darf Traffic von dieser Quelle passieren oder nicht?

Die Grundidee der Standard ACL

  • Filterung nur auf Basis der Quell-IP-Adresse
  • Einfache Regeln mit permit oder deny
  • Keine Auswertung von Zieladresse, Protokoll oder Port
  • Typisch für grundlegende Zugriffskontrolle und Management-Schutz

Warum Standard ACLs wichtig sind

Auch wenn Extended ACLs in modernen Netzwerken oft flexibler sind, haben Standard ACLs weiterhin ihre Berechtigung. Sie sind besonders nützlich, wenn Quellen einfach zugelassen oder blockiert werden sollen, ohne dabei tief in die Paketdetails einzugreifen. In Cisco-Umgebungen kommen sie oft bei der Absicherung administrativer Zugriffe oder in einfachen Routing-Szenarien zum Einsatz.

Für Lernende sind Standard ACLs außerdem ideal, um die Grundlagen von Paketfilterung zu verstehen. Sie vermitteln zentrale Konzepte wie Regelreihenfolge, implizites Deny, Wildcard Masks und die Anwendung auf Interfaces oder VTY-Lines.

Typische Einsatzbereiche

  • Schutz des Zugriffs auf Router oder Switches per SSH
  • Einfache Filterung bestimmter Quellnetze
  • NAT-Matching in einfachen Cisco-Konfigurationen
  • Grundlegende Zugriffskontrolle zwischen Routing-Segmenten
  • Labor- und Schulungsumgebungen zum ACL-Einstieg

Wie eine Standard ACL funktioniert

Eine Standard ACL besteht aus einer geordneten Liste von Regeln. Wenn ein Paket auf eine ACL trifft, prüft das Gerät die Regeln von oben nach unten. Sobald eine Regel zur Quelladresse des Pakets passt, wird die definierte Aktion sofort ausgeführt. Danach endet die Auswertung dieses Pakets.

Es ist also nicht so, dass alle Einträge geprüft und dann die beste Regel ausgewählt wird. Entscheidend ist immer die erste passende Zeile. Genau deshalb ist die Reihenfolge der ACL-Einträge in der Praxis extrem wichtig.

Verarbeitungslogik einer Standard ACL

  • Paket trifft auf die ACL
  • Quell-IP-Adresse wird mit Regel 1 verglichen
  • Passt Regel 1 nicht, folgt Regel 2
  • Die erste passende Regel entscheidet
  • Danach endet die Prüfung für dieses Paket

Was eine Standard ACL nicht betrachtet

  • Ziel-IP-Adresse
  • TCP oder UDP
  • Portnummern wie 80, 443 oder 22
  • ICMP-Typen
  • Anwendungsbezogene Details

permit und deny einfach erklärt

In jeder ACL gibt es zwei zentrale Aktionen: permit und deny. Damit wird festgelegt, ob ein Paket mit passender Quelladresse zugelassen oder verworfen wird.

permit

Mit permit wird Traffic von einer bestimmten Quelle erlaubt. Das Paket darf den Filter passieren.

deny

Mit deny wird Traffic von einer bestimmten Quelle blockiert. Das Paket wird verworfen.

Ein einfaches Beispiel

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Traffic von allen Hosts aus dem Netz 192.168.10.0/24. Andere Quellen werden damit noch nicht automatisch erlaubt. Ob sie passieren dürfen, hängt von weiteren Zeilen oder vom impliziten Deny ab.

Das implizite deny bei Standard ACLs

Ein ganz wichtiger Grundsatz bei jeder Cisco-ACL ist das implizite Deny. Am Ende jeder ACL existiert logisch ein unsichtbarer Eintrag, der alles blockiert, was nicht vorher explizit erlaubt wurde. Bei einer Standard ACL entspricht das sinngemäß einem abschließenden deny any.

Dieser unsichtbare Standard-Eintrag ist einer der häufigsten Gründe für Konfigurationsfehler. Viele Einsteiger schreiben eine einzige Permit-Regel und wundern sich dann, warum aller andere Traffic plötzlich nicht mehr funktioniert.

Was das implizite deny bedeutet

  • Nicht explizit erlaubter Traffic wird am Ende verworfen
  • Eine ACL ist standardmäßig restriktiv
  • Fehlende Permit-Regeln führen oft zu unerwarteten Blockaden

Ein Beispiel mit implizitem deny

access-list 15 permit 192.168.10.0 0.0.0.255

Diese ACL erlaubt nur Quellen aus 192.168.10.0/24. Jede andere Quelladresse wird durch das implizite deny blockiert, auch wenn das in der Konfiguration nicht ausdrücklich steht.

Wildcard Mask bei Standard ACLs verstehen

Cisco-ACLs arbeiten nicht mit klassischen Subnetzmasken, sondern mit sogenannten Wildcard Masks. Diese geben an, welche Teile der IP-Adresse exakt übereinstimmen müssen und welche ignoriert werden dürfen.

Das Prinzip ist einfach:

  • 0 bedeutet: Dieses Bit muss exakt passen
  • 1 bedeutet: Dieses Bit darf variieren

In der Praxis wird meist mit Wildcards auf Oktettbasis gearbeitet, nicht bitweise von Hand.

Typische Wildcard-Beispiele

  • 0.0.0.0 = exakter Host
  • 0.0.0.255 = gesamtes /24-Netz
  • 0.0.255.255 = gesamtes /16-Netz

Beispiel für ein ganzes Netz

access-list 20 permit 10.1.1.0 0.0.0.255

Diese Regel erlaubt alle Hosts aus dem Netz 10.1.1.0/24.

Beispiel für einen einzelnen Host

access-list 20 permit 10.1.1.10 0.0.0.0

Hier ist nur der Host 10.1.1.10 erlaubt.

host und any als Cisco-Kürzel

Damit ACLs leichter lesbar sind, stellt Cisco praktische Kurzformen bereit. Diese sparen Tipparbeit und machen die Regel verständlicher.

host

Das Schlüsselwort host steht für eine exakte Einzeladresse mit der Wildcard 0.0.0.0.

access-list 25 permit host 192.168.10.10

Das entspricht technisch:

access-list 25 permit 192.168.10.10 0.0.0.0

any

Das Schlüsselwort any steht für alle möglichen Quellen.

access-list 25 deny any

Das entspricht sinngemäß allen IP-Adressen.

Nummerierte und benannte Standard ACLs

Standard ACLs können auf Cisco-Geräten nummeriert oder benannt angelegt werden. Historisch wurden oft nummerierte ACLs verwendet. In modernen Konfigurationen sind benannte ACLs häufig lesbarer und besser dokumentierbar.

Nummerierte Standard ACL

Klassische Standard ACLs verwenden traditionell Nummern, typischerweise im Bereich 1 bis 99 oder erweitert 1300 bis 1999.

access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any

Benannte Standard ACL

Benannte ACLs machen den Einsatzzweck klarer. Das ist besonders in größeren Konfigurationen hilfreich.

ip access-list standard MGMT-ACCESS
 permit 192.168.10.0 0.0.0.255
 deny any

Vorteile benannter ACLs

  • Bessere Lesbarkeit
  • Klarere Dokumentation des Zwecks
  • Einfachere Pflege in größeren Konfigurationen
  • Oft sauberer für produktive Umgebungen

Wo Standard ACLs angewendet werden

Eine ACL in der Konfiguration allein filtert noch keinen Traffic. Erst wenn sie an einer konkreten Stelle angewendet wird, hat sie Wirkung. Standard ACLs werden häufig entweder auf ein Interface oder auf die VTY-Lines für den Remote-Zugriff angewendet.

Standard ACL auf einem Interface

Auf einem Layer-3-Interface kann eine ACL eingehend oder ausgehend aktiviert werden.

interface GigabitEthernet0/0
 ip access-group 10 in

Damit wird ACL 10 eingehend auf GigabitEthernet0/0 angewendet.

Standard ACL auf VTY-Lines

Sehr häufig werden Standard ACLs verwendet, um festzulegen, welche Management-Netze per SSH oder Telnet auf den Router zugreifen dürfen.

access-list 15 permit 192.168.10.0 0.0.0.255

line vty 0 4
 access-class 15 in
 transport input ssh

Hier dürfen nur Hosts aus 192.168.10.0/24 per SSH auf die VTY-Leitungen zugreifen.

Warum die Platzierung von Standard ACLs wichtig ist

Da eine Standard ACL nur die Quelle betrachtet, sollte sie in der Regel möglichst nah am Ziel platziert werden. Das ist eine wichtige Designregel. Würde man sie zu nah an der Quelle einsetzen, könnte man versehentlich mehr Traffic blockieren als beabsichtigt, weil die ACL nicht unterscheiden kann, wohin das Paket eigentlich unterwegs ist.

Genau darin liegt ein entscheidender Unterschied zur Extended ACL. Eine Extended ACL kann sehr präzise filtern und wird deshalb meist nah an der Quelle platziert. Bei Standard ACLs ist man vorsichtiger, weil sie grober arbeiten.

Grundregel für Standard ACLs

  • Möglichst nah am Ziel platzieren
  • Unnötige Blockade anderer Kommunikationspfade vermeiden
  • Nur dort einsetzen, wo eine reine Quellenfilterung ausreicht

Einfaches Beispiel

Wenn Netz A nur den Zugriff auf ein bestimmtes Zielnetz verlieren soll, aber weiterhin andere Netze erreichen darf, wäre eine Standard ACL direkt am Ausgang von Netz A oft zu grob. Besser ist meist eine Platzierung näher am Zielnetz.

Typische Praxisbeispiele für Standard ACLs

Nur ein Admin-Netz darf auf den Router per SSH zugreifen

ip access-list standard SSH-ADMIN
 permit 10.10.10.0 0.0.0.255
 deny any

line vty 0 4
 access-class SSH-ADMIN in
 transport input ssh

Diese Konfiguration erlaubt nur Hosts aus 10.10.10.0/24 den SSH-Zugriff auf den Router.

Ein bestimmtes Quellnetz soll blockiert werden

access-list 30 deny 192.168.50.0 0.0.0.255
access-list 30 permit any

Hier wird das Netz 192.168.50.0/24 blockiert, während alle anderen Quellen erlaubt werden.

Nur ein einzelner Host darf passieren

access-list 40 permit host 192.168.100.10
access-list 40 deny any

Damit ist nur der Host 192.168.100.10 erlaubt, alle anderen Quellen werden blockiert.

Standard ACL und NAT

In Cisco-Konfigurationen werden Standard ACLs häufig im Zusammenhang mit NAT verwendet. Dabei dient die ACL nicht direkt zur Sicherheitsfilterung, sondern dazu, die Quelladressen zu definieren, die für NAT berücksichtigt werden sollen.

Beispiel für NAT mit Standard ACL

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat inside source list 1 interface GigabitEthernet0/1 overload

Hier sagt ACL 1 aus, dass Traffic aus 192.168.10.0/24 für NAT Overload genutzt werden darf. Die ACL filtert in diesem Fall also nicht direkt auf einem Interface, sondern dient als Matching-Kriterium für NAT.

Warum Standard ACLs hier gut passen

  • NAT braucht oft nur die Definition der Quellnetze
  • Zieladresse und Port sind in diesem Kontext meist nicht entscheidend
  • Standard ACLs sind dafür einfach und effizient

Häufige Fehler bei Standard ACLs

Gerade weil Standard ACLs einfach wirken, werden sie oft unterschätzt. In der Praxis führen kleine Fehler schnell dazu, dass legitimer Traffic blockiert oder zu viel erlaubt wird.

Typische Fehlerquellen

  • Implizites deny wird vergessen
  • Reihenfolge der Regeln ist falsch
  • ACL wird auf falsches Interface angewendet
  • Richtung in/out ist falsch gewählt
  • Wildcard Mask ist nicht korrekt
  • Standard ACL wird eingesetzt, obwohl Extended ACL nötig wäre

Praxisbeispiel für fehlerhafte Reihenfolge

access-list 50 permit any
access-list 50 deny 192.168.10.0 0.0.0.255

Die zweite Zeile hat keine Wirkung mehr, weil bereits die erste Regel allen Traffic erlaubt. Das spezifische Deny kommt nie zur Anwendung.

Praxisbeispiel für eine zu grobe ACL

Wenn nur der Zugriff auf ein bestimmtes Ziel eingeschränkt werden soll, ist eine Standard ACL oft ungeeignet. Da sie nur die Quelle kennt, blockiert sie möglicherweise zu viel.

Standard ACL überprüfen und verifizieren

Nach jeder ACL-Konfiguration sollte geprüft werden, ob die Regeln korrekt geschrieben, richtig angewendet und tatsächlich getroffen werden. Cisco IOS stellt dafür mehrere hilfreiche Show-Befehle bereit.

Wichtige Show-Befehle

show access-lists
show ip interface
show running-config | section access-list
show running-config | section ip access-list

show access-lists

Dieser Befehl zeigt die konfigurierten ACL-Einträge und oft auch die Trefferzähler pro Zeile. Gerade diese Zähler sind in der Fehlersuche sehr hilfreich, weil sie sichtbar machen, ob Traffic auf die erwarteten Regeln trifft.

show ip interface

Mit diesem Befehl lässt sich erkennen, ob auf einem Interface eine ACL aktiv ist und in welcher Richtung sie angewendet wird.

Typische Prüffragen

  • Ist die ACL korrekt geschrieben?
  • Wurde sie auf das richtige Interface oder die richtigen VTY-Lines angewendet?
  • Stimmt die Richtung?
  • Treffen Pakete auf die erwarteten Zeilen?
  • Blockiert das implizite deny unerwartet weiteren Traffic?

Wann Standard ACLs sinnvoll sind und wann nicht

Standard ACLs sind dann sinnvoll, wenn eine einfache Quellenfilterung ausreicht. Das gilt besonders bei Management-Zugängen oder bei NAT-Matching. Sobald jedoch zwischen Zielen, Protokollen oder Portnummern unterschieden werden muss, stößt die Standard ACL schnell an ihre Grenzen.

Sinnvolle Einsatzfälle

  • SSH-Zugriff nur aus Admin-Netzen erlauben
  • Bestimmte Quellnetze pauschal erlauben oder blockieren
  • NAT-Quellnetze definieren
  • Grundlagen in Cisco-Laboren lernen

Weniger geeignete Einsatzfälle

  • Wenn nur ein bestimmter Dienst blockiert werden soll
  • Wenn unterschiedliche Zielnetze unterschiedlich behandelt werden sollen
  • Wenn Quelle, Ziel und Protokoll exakt unterschieden werden müssen
  • Wenn granulare Sicherheitsregeln erforderlich sind

In solchen Fällen ist eine Extended ACL meist die bessere Wahl.

Warum Standard ACLs für CCNA und Praxis so wichtig sind

Die Standard ACL ist eines der Basisthemen in Cisco-Netzwerken. Sie vermittelt sehr anschaulich, wie Access Control Lists grundsätzlich arbeiten: top-down, first match, permit/deny, implizites deny und Anwendung an konkreten Stellen im Netzwerk. Wer diese Mechanismen sicher versteht, legt das Fundament für Extended ACLs, NAT-Policies und weiterführende Security-Konzepte.

Gerade in der Praxis zeigt sich außerdem, dass Standard ACLs trotz ihrer Einfachheit keineswegs veraltet sind. Sie sind nach wie vor ein nützliches Werkzeug, wenn es um einfache Quellenfilterung, Management-Schutz und typische Cisco-Basisaufgaben geht. Genau deshalb gehört die Standard ACL zu den Themen, die jeder Network Engineer sicher beherrschen sollte.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick