In diesem Artikel werden wir ein praktisches CCNA-Labor durchführen, das sich auf die Konfiguration von Access Control Lists (ACLs) für den Serverzugriff konzentriert. Insbesondere werden wir ACLs einrichten, um den Zugriff auf Web- und DNS-Server im Netzwerk zu steuern. Dieses Lab richtet sich an Einsteiger und Junior Network Engineers, die sich mit der Anwendung von ACLs in realen Netzwerkszenarien vertraut machen möchten.
1. Grundlagen von ACLs (Access Control Lists)
ACLs sind ein wichtiger Bestandteil der Netzwerksicherheit, da sie den Zugriff auf Ressourcen im Netzwerk basierend auf IP-Adressen, Protokollen und Ports steuern. ACLs können auf Routern und Switches angewendet werden, um den Datenverkehr zu filtern und unerwünschte Verbindungen zu blockieren.
1.1 Standard- und erweiterte ACLs
- Standard-ACLs: Filtern nur nach Quell-IP-Adresse.
- Erweiterte ACLs: Filtern nach Quell-IP-Adresse, Ziel-IP-Adresse, Protokollen und Ports.
2. Konfiguration von Standard-ACLs für den Serverzugriff
In diesem Abschnitt werden wir eine Standard-ACL erstellen, um den Zugriff auf den Webserver und den DNS-Server zu kontrollieren. Die ACL wird so konfiguriert, dass nur bestimmte IP-Adressen Zugriff auf die Server haben, während der restliche Verkehr blockiert wird.
2.1 Standard-ACL auf dem Router konfigurieren
Erstellen Sie eine Standard-ACL, die den Zugriff auf den Web- und DNS-Server einschränkt. Wir verwenden die IP-Adresse 192.168.1.100 für den Webserver und 192.168.1.200 für den DNS-Server.
Router# configure terminal
Router(config)# access-list 10 deny 192.168.2.0 0.0.0.255
Router(config)# access-list 10 permit any
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# ip access-group 10 in
In diesem Beispiel blockieren wir den Zugriff aus dem Netzwerk 192.168.2.0/24 auf die Server, erlauben jedoch allen anderen Verkehr. Die ACL wird auf dem Interface 0/0 des Routers angewendet, um eingehenden Verkehr zu filtern.
3. Erweiterte ACLs für spezifischen Serverzugriff
Erweiterte ACLs bieten eine präzisere Kontrolle, da sie neben der Quell-IP-Adresse auch Ziel-IP-Adressen, Protokolle und Ports berücksichtigen. In diesem Abschnitt werden wir eine erweiterte ACL konfigurieren, die den Zugriff auf den Webserver (Port 80) und den DNS-Server (Port 53) steuert.
3.1 Erweiterte ACL für den Web- und DNS-Server konfigurieren
Um den Zugriff auf den Web- und DNS-Server basierend auf IP-Adresse und Protokoll zu steuern, verwenden wir eine erweiterte ACL:
Router# configure terminal
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.100 eq 80
Router(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 host 192.168.1.200 eq 53
Router(config)# access-list 100 deny ip any any
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# ip access-group 100 in
In diesem Beispiel erlauben wir den TCP-Zugriff auf den Webserver (Port 80) und den UDP-Zugriff auf den DNS-Server (Port 53) aus dem Netzwerk 192.168.1.0/24. Alle anderen Verbindungen werden abgelehnt.
4. Überprüfung der ACL-Konfiguration
Nachdem die ACLs auf dem Router konfiguriert wurden, sollten wir sicherstellen, dass sie ordnungsgemäß funktionieren. Sie können dies überprüfen, indem Sie den Zugriff auf die Server testen und die ACL-Statistiken auf dem Router anzeigen.
4.1 Testen des Serverzugriffs
Verwenden Sie den ping-Befehl oder einen Webbrowser, um den Zugriff auf die Server zu überprüfen. Wenn alles richtig konfiguriert ist, sollten nur die erlaubten IP-Adressen Zugriff auf die Server haben.
PC1> ping 192.168.1.100
PC1> ping 192.168.1.200
Wenn der Zugriff blockiert wird, bedeutet dies, dass die ACL korrekt angewendet wurde.
4.2 Überprüfung der ACL-Statistiken
Um zu überprüfen, wie die ACLs den Verkehr filtern, verwenden Sie den folgenden Befehl:
Router# show access-lists
Dieser Befehl zeigt Ihnen, wie viele Pakete durch die ACL zugelassen oder blockiert wurden. Dies hilft Ihnen, sicherzustellen, dass die Regeln korrekt angewendet werden.
5. Troubleshooting von ACL-Problemen
Falls der Zugriff nicht wie erwartet funktioniert, gibt es einige häufige Fehlerquellen, die Sie überprüfen sollten:
5.1 Fehler bei der ACL-Anwendung
- Überprüfen Sie, ob die ACL auf dem richtigen Interface angewendet wurde (z.B.
ip access-group 100 in). - Stellen Sie sicher, dass die ACL in der richtigen Richtung angewendet wurde (in oder out).
5.2 Fehlerhafte IP-Adressen oder Subnetze
- Überprüfen Sie, ob die IP-Adressen und Subnetzmasken in der ACL korrekt sind.
- Stellen Sie sicher, dass die IP-Adressen der Server und Clients richtig konfiguriert sind.
5.3 Reihenfolge der ACL-Regeln
- Beachten Sie, dass ACLs von oben nach unten verarbeitet werden. Wenn eine Regel zutrifft, wird die restliche Liste übersprungen.
- Stellen Sie sicher, dass die Regeln in der richtigen Reihenfolge stehen, um ungewollte Verbindungen zu blockieren oder zuzulassen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
