March 13, 2026

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Das Thema ACL auf Cisco-Geräten verstehen ist für alle wichtig, die Netzwerke, Sicherheit und CCNA-Grundlagen besser lernen möchten. Viele Anfänger lernen zuerst, wie Router Pakete weiterleiten und wie Switches Geräte verbinden. Das ist wichtig. In der Praxis reicht es aber nicht, dass Daten einfach nur von A nach B laufen. Oft muss man auch entscheiden, welcher Verkehr erlaubt ist und welcher Verkehr blockiert werden soll. Genau hier kommen ACLs ins Spiel. ACL steht für Access Control List. Mit einer ACL kann ein Cisco-Gerät Regeln prüfen und danach bestimmten Datenverkehr erlauben oder verweigern. Für IT-Studenten, Anfänger im Bereich Netzwerke und Junior Network Engineers ist dieses Wissen sehr wertvoll. Wenn du verstehst, wie ACLs funktionieren, wofür sie genutzt werden und wo sie auf Cisco-Geräten eingesetzt werden, kannst du viele weitere CCNA-Themen deutlich leichter lernen. Dazu gehören Sicherheit, Verkehrssteuerung, Fernzugriff, NAT und die allgemeine Kontrolle von Netzwerkverkehr.

Table of Contents

Was ist eine ACL?

ACL steht für Access Control List. Eine ACL ist eine Liste von Regeln, die auf einem Cisco-Gerät verwendet wird, um Netzwerkverkehr zu prüfen. Anhand dieser Regeln entscheidet das Gerät, ob ein Paket erlaubt oder blockiert wird.

Eine ACL ist also keine Leitung und kein eigenes Protokoll. Sie ist eine Sammlung von Bedingungen und Aktionen.

Einfach erklärt

Eine ACL bedeutet:

Ein Cisco-Gerät prüft Pakete nach festen Regeln und entscheidet dann: erlauben oder blockieren.

Das ist die wichtigste Grundidee des ganzen Themas.

Warum braucht man ACLs?

In einem Netzwerk soll nicht immer jeder Datenverkehr überall erlaubt sein. Manche Geräte oder Benutzer sollen nur bestimmte Ziele erreichen. Manche Dienste sollen gesperrt werden. Manchmal möchte man auch den Zugriff auf Router oder Switches selbst kontrollieren.

Ohne ACLs wäre diese Kontrolle deutlich schwerer.

Typische Gründe für ACLs

  • Unerwünschten Verkehr blockieren
  • Bestimmten Verkehr erlauben
  • Zugriff auf Geräte absichern
  • Netzwerkbereiche voneinander trennen
  • Sicherheitsregeln umsetzen

Für Anfänger ist wichtig: ACLs helfen dabei, Verkehr bewusst zu steuern und nicht alles einfach offen zu lassen.

Wie arbeitet eine ACL grundsätzlich?

Eine ACL besteht aus mehreren Regeln. Diese Regeln werden von oben nach unten gelesen. Sobald ein Paket zu einer Regel passt, wird die passende Aktion ausgeführt. Danach wird die Liste für dieses Paket nicht weiter geprüft.

Darum ist die Reihenfolge der Regeln sehr wichtig.

Der Grundablauf in einfachen Schritten

  • Ein Paket trifft auf das Gerät
  • Die ACL prüft die erste Regel
  • Wenn die Regel passt, wird die Aktion ausgeführt
  • Wenn sie nicht passt, wird die nächste Regel geprüft
  • Das geht weiter, bis eine Regel passt oder das Ende erreicht ist

Für Anfänger ist wichtig: ACLs arbeiten Schritt für Schritt und die erste passende Regel entscheidet.

Welche Aktionen gibt es in einer ACL?

In einer ACL gibt es zwei wichtigste Grundaktionen:

  • permit
  • deny

permit bedeutet, dass der Verkehr erlaubt wird. deny bedeutet, dass der Verkehr blockiert wird.

Einfach erklärt

  • permit = erlauben
  • deny = verbieten

Mehr braucht man für die Grundidee zuerst nicht.

Warum ist die Reihenfolge in einer ACL so wichtig?

Die ACL prüft Regeln von oben nach unten. Wenn ein Paket schon früh zu einer Regel passt, dann wird sofort entschieden. Spätere Regeln spielen dann für dieses Paket keine Rolle mehr.

Deshalb kann eine falsche Reihenfolge dazu führen, dass erlaubter Verkehr blockiert wird oder blockierter Verkehr erlaubt bleibt.

Einfach erklärt

Die erste passende Regel gewinnt.

Für Anfänger ist wichtig: Gute ACLs brauchen nicht nur richtige Regeln, sondern auch die richtige Reihenfolge.

Was ist das implizite Deny?

Am Ende jeder ACL gibt es gedanklich eine unsichtbare Regel. Diese Regel nennt man oft implizites deny oder implicit deny any. Das bedeutet: Wenn kein Paket zu einer erlaubenden Regel passt, wird es am Ende automatisch blockiert.

Diese Regel muss nicht extra geschrieben werden, sie ist im Verhalten der ACL schon enthalten.

Einfach erklärt

Wenn kein Paket zu einer erlaubenden Regel passt, wird es am Ende verworfen.

Das ist einer der wichtigsten Punkte bei ACLs.

Was bedeutet “implicit deny any” einfach erklärt?

Der Ausdruck implicit deny any bedeutet vereinfacht:

Alles, was nicht ausdrücklich erlaubt wurde, wird am Ende verboten.

Das ist sehr wichtig, weil viele Anfänger nur ihre sichtbaren Regeln ansehen und vergessen, dass am Ende noch diese unsichtbare Sperre wirkt.

Welche ACL-Arten gibt es auf Cisco-Geräten?

Für die CCNA-Grundlagen sind besonders zwei ACL-Arten wichtig:

  • Standard ACL
  • Extended ACL

Beide prüfen Verkehr, aber nicht auf dieselbe Weise.

Was ist eine Standard ACL?

Eine Standard ACL prüft vor allem die Quell-IP-Adresse eines Pakets. Sie schaut also in erster Linie darauf, von welchem Gerät oder aus welchem Netzwerk der Verkehr kommt.

Sie ist einfacher als eine Extended ACL, aber auch weniger genau.

Einfach erklärt

Eine Standard ACL fragt vor allem:

Von wo kommt dieses Paket?

Für Anfänger ist wichtig: Standard ACLs sind einfacher, aber nicht so flexibel.

Was ist eine Extended ACL?

Eine Extended ACL kann mehr prüfen als eine Standard ACL. Sie kann nicht nur die Quelladresse, sondern auch die Zieladresse, das Protokoll und oft sogar Portnummern prüfen.

Dadurch ist sie viel genauer und in der Praxis oft nützlicher.

Einfach erklärt

Eine Extended ACL fragt zum Beispiel:

Von wo kommt das Paket, wohin geht es und welchen Dienst nutzt es?

Für Anfänger ist wichtig: Extended ACLs bieten deutlich mehr Kontrolle.

Was ist der wichtigste Unterschied zwischen Standard und Extended ACL?

Der wichtigste Unterschied liegt in der Genauigkeit der Prüfung.

Standard ACL

  • Prüft vor allem die Quell-IP-Adresse
  • Einfacher Aufbau

Extended ACL

  • Prüft Quelle, Ziel, Protokoll und oft Ports
  • Viel genauer und flexibler

Einfach gesagt:

  • Standard ACL = einfacher Blick auf die Quelle
  • Extended ACL = genauer Blick auf den ganzen Verkehr

Was ist eine nummerierte ACL?

ACLs können auf Cisco-Geräten auf verschiedene Arten benannt werden. Eine klassische Methode ist die nummerierte ACL. Dabei bekommt die ACL einfach eine Nummer.

Zum Beispiel kann eine Standard ACL die Nummer 10 bekommen oder eine Extended ACL eine Nummer wie 101.

Einfach erklärt

Bei einer nummerierten ACL erkennt man die Liste an ihrer Nummer.

Was ist eine benannte ACL?

Statt einer Nummer kann man einer ACL auch einen Namen geben. Dann spricht man von einer benannten ACL. Das macht die Konfiguration oft lesbarer, besonders in größeren Umgebungen.

Einfach erklärt

Eine benannte ACL nutzt einen verständlichen Namen statt nur einer Zahl.

Für Anfänger ist wichtig: Die Grundidee bleibt gleich. Nur die Art der Bezeichnung ändert sich.

Was ist eine Wildcard Mask?

Bei ACLs auf Cisco-Geräten wird oft eine Wildcard Mask verwendet. Sie sieht ähnlich aus wie eine Subnetzmaske, arbeitet aber anders. Sie hilft dabei zu definieren, welche IP-Adressen genau geprüft werden sollen.

Eine wichtige Grundregel ist:

  • 0 bedeutet: genau prüfen
  • 255 bedeutet: egal

Einfach erklärt

Die Wildcard Mask sagt dem Gerät, welche Teile der Adresse wichtig sind und welche nicht.

Für Anfänger ist wichtig: Wildcard Masks gehören zu den wichtigsten ACL-Grundlagen auf Cisco-Geräten.

Was bedeutet “host” in einer ACL?

Wenn man in einer ACL nur ein einziges Gerät prüfen möchte, kann man das Wort host nutzen. Damit wird klar gesagt, dass genau eine einzelne IP-Adresse gemeint ist.

Beispiel

access-list 10 permit host 192.168.10.10

Das bedeutet: Genau die Adresse 192.168.10.10 wird erlaubt.

Einfach erklärt

host steht für genau eine einzelne IP-Adresse.

Was bedeutet “any” in einer ACL?

Mit dem Wort any meint man alle möglichen Adressen. Das ist sehr praktisch, wenn eine Regel für jeden Absender oder jedes Ziel gelten soll.

Beispiel

access-list 10 permit any

Das bedeutet: Alles wird erlaubt.

Einfach erklärt

any bedeutet: jede Adresse oder jedes Ziel.

Für Anfänger ist wichtig: any ist sehr mächtig und sollte bewusst verwendet werden.

Wie sieht eine einfache Standard ACL aus?

Ein einfaches Beispiel wäre:

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Verkehr aus dem Netz 192.168.10.0/24.

Wenn keine weitere passende Regel folgt und kein anderes Permit vorhanden ist, wird anderer Verkehr durch das implizite Deny am Ende blockiert.

Einfach erklärt

Diese ACL erlaubt ein bestimmtes Quellnetz und blockiert alles andere am Ende automatisch.

Wie sieht eine einfache Extended ACL aus?

Ein einfaches Beispiel wäre:

access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80

Diese Regel erlaubt TCP-Verkehr aus dem Netz 192.168.10.0/24 zu jedem Ziel, wenn Port 80 verwendet wird. Das ist typisch für HTTP.

Einfach erklärt

Diese Regel erlaubt Webverkehr von einem bestimmten Quellnetz zu beliebigen Zielen.

Für Anfänger ist wichtig: Extended ACLs können viel genauer steuern, was erlaubt wird.

Wo werden ACLs auf Cisco-Geräten angewendet?

Eine ACL wirkt nicht automatisch sofort. Sie muss an einer passenden Stelle auf dem Gerät angewendet werden. Oft geschieht das an einem Interface.

Dabei gibt es zwei Richtungen:

  • in
  • out

Einfach erklärt

  • in = Pakete werden geprüft, wenn sie am Interface ankommen
  • out = Pakete werden geprüft, wenn sie das Interface verlassen

Für Anfänger ist wichtig: Eine gute ACL-Regel bringt nichts, wenn sie nicht korrekt angewendet wird.

Was bedeutet ACL “in”?

Wenn eine ACL inbound angewendet wird, prüft das Gerät die Pakete, wenn sie an einem Interface hereinkommen. Die Entscheidung fällt also früh beim Eintreffen.

Beispiel

interface gigabitethernet0/0
ip access-group 10 in

Das bedeutet: ACL 10 wird auf eingehenden Verkehr an diesem Interface angewendet.

Was bedeutet ACL “out”?

Wenn eine ACL outbound angewendet wird, prüft das Gerät die Pakete, bevor sie ein Interface verlassen. Die Entscheidung fällt also kurz vor dem Senden.

Beispiel

interface gigabitethernet0/1
ip access-group 101 out

Das bedeutet: ACL 101 wird auf ausgehenden Verkehr an diesem Interface angewendet.

Welche Platzierungsregeln sollte man sich merken?

Für die CCNA-Grundlagen gibt es eine wichtige Faustregel:

  • Standard ACLs möglichst nah am Ziel
  • Extended ACLs möglichst nah an der Quelle

Der Grund ist einfach: Standard ACLs prüfen nur die Quelle und könnten sonst zu viel blockieren. Extended ACLs sind genauer und können früh sinnvoll filtern.

Einfach erklärt

Standard eher später, Extended eher früher.

Das ist eine sehr bekannte CCNA-Grundregel.

Welche Einsatzbereiche haben ACLs?

ACLs werden in Cisco-Netzwerken für viele Aufgaben genutzt. Sie sind nicht nur für reines Sicherheits-Blocking da.

Typische Einsatzbereiche

  • Verkehr erlauben oder blockieren
  • Zugriff auf VTY-Linien einschränken
  • Bestimmte Dienste erlauben oder sperren
  • NAT-Regeln unterstützen
  • Verwaltungszugänge absichern
  • Netzwerkbereiche besser kontrollieren

Für Anfänger ist wichtig: ACLs sind ein sehr flexibles Werkzeug im Cisco-Alltag.

Wie schützt eine ACL den Fernzugriff?

Ein Router oder Switch soll oft nicht von jedem beliebigen Gerät aus administriert werden. Mit einer ACL kann man festlegen, welche IP-Adressen oder Netze überhaupt per VTY auf das Gerät zugreifen dürfen.

Einfach erklärt

Eine ACL kann sagen:

Nur diese Verwaltungs-IP darf sich auf das Gerät verbinden.

Das ist eine sehr wichtige Sicherheitsfunktion.

Wie hilft eine ACL bei der Netzwerksicherheit?

ACLs sind eine grundlegende Sicherheitsmaßnahme. Sie ersetzen keine Firewall mit allen Funktionen, aber sie helfen sehr gut dabei, unerwünschten Verkehr zu begrenzen und klare Zugriffsregeln umzusetzen.

Typische Sicherheitsvorteile

  • Unerwünschter Verkehr wird gestoppt
  • Zugriffe werden kontrollierter
  • Netze und Geräte werden besser geschützt
  • Verwaltungszugänge werden eingeschränkt

Für Anfänger ist wichtig: ACLs sind ein klassisches und sehr wichtiges Sicherheitswerkzeug auf Cisco-Geräten.

Welche typischen Fehler machen Anfänger bei ACLs?

ACLs sind logisch, aber in der Praxis fehleranfällig. Viele Anfänger machen typische Denk- oder Konfigurationsfehler. Das ist normal, weil ACLs sehr genau arbeiten.

Häufige Fehler

  • Die Reihenfolge der Regeln falsch wählen
  • Das implizite Deny vergessen
  • Die falsche Richtung wählen
  • Eine ACL schreiben, aber nicht anwenden
  • Standard und Extended ACL verwechseln
  • Wildcard Masks falsch einsetzen

Ein weiterer häufiger Fehler ist, eine sehr allgemeine Regel zu früh in die Liste zu setzen.

Warum ist das implizite Deny so oft ein Problem?

Viele Anfänger schreiben eine oder zwei Permit-Regeln und wundern sich dann, warum anderer Verkehr nicht mehr funktioniert. Der Grund ist oft das unsichtbare implicit deny any am Ende der ACL.

Wenn ein Paket zu keiner erlaubenden Regel passt, wird es automatisch blockiert.

Einfach erklärt

Wenn du etwas nicht ausdrücklich erlaubst, kann es am Ende automatisch verboten werden.

Wie prüft man ACLs auf Cisco-Geräten?

Nach der Konfiguration sollte man ACLs immer prüfen. Dafür gibt es nützliche Cisco-Befehle.

ACL-Inhalte anzeigen

show access-lists

Damit sieht man die ACL-Regeln und oft auch Trefferzähler.

Interface-Zuordnung prüfen

show running-config

Damit kann man sehen, ob die ACL an einem Interface angewendet wurde.

Interface-Status prüfen

show ip interface

Dieser Befehl hilft dabei zu sehen, welche ACLs an Interfaces aktiv sind.

Für Anfänger ist wichtig: ACLs sollte man nicht nur schreiben, sondern immer kontrollieren und testen.

Wie hilft ACL-Wissen bei der Fehlersuche?

Wenn Verkehr plötzlich nicht mehr funktioniert, ist eine ACL oft ein wichtiger Prüfpunkt. Gerade nach Änderungen an Routern oder Sicherheitsregeln sollte man ACLs immer mitdenken.

Wichtige Prüffragen

  • Ist eine ACL aktiv?
  • Ist sie in der richtigen Richtung angewendet?
  • Passt das Paket zu einer Permit-Regel?
  • Greift vielleicht das implizite Deny?
  • Ist die Reihenfolge der Regeln sinnvoll?

Gerade diese klare Denkweise hilft sehr im Alltag und im Lab.

Wie lernen Anfänger ACLs am besten?

Der beste Weg ist, zuerst die Grundidee zu verstehen: Eine ACL ist eine Liste von Regeln, die Verkehr erlaubt oder blockiert. Danach solltest du Standard und Extended ACL sauber unterscheiden. Wenn du dann noch Reihenfolge, Richtung und implizites Deny sicher beherrschst, wird das Thema deutlich leichter.

Ein guter Lernweg

  • Zuerst permit, deny und die Reihenfolge verstehen
  • Dann das implizite Deny sicher lernen
  • Standard ACL und Extended ACL trennen
  • Wildcard Mask, host und any praktisch üben
  • ACLs an Interfaces mit in und out anwenden und testen

Wenn du ACL auf Cisco-Geräten verstehen wirklich sauber gelernt hast, hast du eine sehr wichtige Grundlage für Sicherheit, Verkehrssteuerung und viele weitere CCNA-Themen. Genau dieses Thema hilft dir dabei, Grundlagen, Funktionen und Einsatzbereiche von ACLs logisch und praxisnah zu verstehen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Passwortrichtlinien verstehen: Komplexität, Verwaltung, MFA und Zertifikate

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt