ACL-Lockouts passieren fast immer aus zwei Gründen: falsche Reihenfolge oder falsche Annahmen über die Logik. Cisco ACLs werden strikt von oben nach unten ausgewertet, die erste passende Regel gewinnt – und am Ende steht immer ein implizites deny. Wer diese Logik sauber versteht und Changes kontrolliert durchführt (Sequenzen, Test-Regeln, Logging), kann Lockouts zuverlässig vermeiden – selbst auf produktiven Routern.
Die Kernlogik: Top-down, First Match, implizites Deny
Eine ACL ist keine „Sammlung“ von Regeln, sondern eine Prioritätenliste. Sobald eine Zeile matcht, wird entschieden und die Auswertung stoppt. Wenn nichts matcht, wird das Paket verworfen.
- Auswertung: von oben nach unten
- Erste passende Zeile entscheidet (First Match)
- Am Ende: implizit
deny ip any any
Merker als Regel
Warum Reihenfolge so wichtig ist
Eine zu breite Deny-Regel oberhalb einer Permit-Regel macht die Permit-Regel wirkungslos. Das betrifft besonders Management-Zugriffe (SSH), weil du dich schnell selbst aussperrst.
- „deny any“ zu früh → alles wird blockiert
- Allgemeine Regeln müssen unter spezifischen Regeln stehen
- Spezifisch zuerst, allgemein zuletzt ist die sichere Reihenfolge
Beispiel: Falsche Reihenfolge (Lockout-Risiko)
ip access-list standard VTY_MGMT
deny any
permit 192.168.10.0 0.0.0.255Beispiel: Richtige Reihenfolge
ip access-list standard VTY_MGMT
permit 192.168.10.0 0.0.0.255
deny anyImplizites Deny: der häufigste Denkfehler
Viele ACLs scheitern nicht an einem falschen Deny, sondern an fehlenden Permits. Wenn du z. B. nur HTTP erlaubst, aber DNS vergisst, „geht Internet nicht“, obwohl HTTPS/HTTP theoretisch erlaubt ist.
- Vergessene Protokolle werden implizit geblockt (DNS, NTP, ICMP)
- „permit ip …“ am Ende ist funktional, aber oft zu grob
- Besser: bewusst definieren, was nötig ist
Typischer Fall: DNS vergessen
ip access-list extended USERS_OUT
permit tcp 192.168.10.0 0.0.0.255 any eq 443
deny ip any anyLockout-Prävention: Management-Zugriff immer zuerst absichern
Wenn du ACLs an Interfaces oder VTY-Lines änderst, musst du zuerst sicherstellen, dass dein aktueller Management-Pfad weiterhin erlaubt ist. Für SSH auf VTY ist die Standardlösung eine separate Standard-ACL als access-class.
SSH nur aus Management-Netz (bewährtes Muster)
Router# configure terminal
Router(config)# ip access-list standard VTY_MGMT
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# end
Router(config)# line vty 0 4
Router(config-line)# access-class VTY_MGMT in
Router(config-line)# transport input ssh
Router(config-line)# end
Sequenznummern: Regeln sicher einfügen statt ACL „neu bauen“
Named ACLs unterstützen Sequenznummern. Damit kannst du Regeln einfügen, ohne die ACL zu löschen oder neu zu schreiben. Das reduziert Change-Risiko massiv.
ACL anzeigen (mit Sequenzen)
Router# show ip access-listsNeue Permit-Regel sicher oben einfügen
Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# 5 permit tcp 198.51.100.0 0.0.0.255 host 203.0.113.10 eq 443
Router(config-ext-nacl)# endTest-Regel und „Safety Net“: kontrolliert deployen
Wenn du eine restriktive ACL neu einführst, ist ein kontrollierter Ansatz sicherer als ein „Big Bang“: erst eine eng begrenzte Permit-Regel für deinen Admin-Host, dann schrittweise weitere Regeln.
- Zuerst: Admin-Source-IP explizit erlauben
- Dann: notwendige Services ergänzen
- Zuletzt: deny/log am Ende setzen
Beispiel: Admin-Host als erstes Permit
ip access-list extended OUTSIDE_IN
10 permit tcp host 198.51.100.10 host 203.0.113.2 eq 22
20 deny ip any anyRichtung und Platzierung: in/out entscheidet über Wirkung
Viele Lockouts entstehen, weil eine ACL am richtigen Interface, aber in der falschen Richtung applied wird. Inbound filtert Pakete beim Eintritt ins Interface, outbound beim Verlassen.
in: filtert bevor Routing-Entscheidung greiftout: filtert nach Routing-Entscheidung- Für Management-Zugriff: VTY-ACL ist oft sicherer als Interface-ACL
Interface-Bindung prüfen
Router# show ip interface gigabitEthernet0/0
Router# show running-config interface gigabitEthernet0/0ACL und Rückverkehr: häufige Falle bei TCP/UDP
ACLs sind zustandslos. Wenn du ausgehend restriktiv filterst, musst du überlegen, ob Rückverkehr (z. B. DNS-Responses, TCP-ACKs) durch deine Regeln noch passt. Auf Routern wird das oft durch „Outbound erlauben, Inbound restriktiv“ oder durch stateful Firewall-Features gelöst.
- DNS: UDP/53 Query raus, UDP/53 Response zurück
- TCP: Rückverkehr kommt mit ephemeren Ports zurück
- ICMP: wird oft für PMTUD benötigt
Beispiel: DNS korrekt berücksichtigen
ip access-list extended USERS_OUT
permit udp 192.168.10.0 0.0.0.255 any eq 53
permit tcp 192.168.10.0 0.0.0.255 any eq 53
permit tcp 192.168.10.0 0.0.0.255 any eq 443
deny ip any anyLogging: hilfreich, aber mit Bedacht
log ist extrem nützlich, um zu sehen, welche Pakete geblockt werden. Aber zu viel Logging kann CPU belasten und Syslog fluten. Nutze Logging gezielt, vor allem auf deny-Regeln am Ende.
Deny mit Logging setzen
Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# deny ip any any log
Router(config-ext-nacl)# endLogs prüfen
Router# show logging | include ACL|ACCESSLIST|DENYVerifikation: Trefferzähler sind deine Wahrheit
Nach jeder ACL-Änderung prüfst du die Hit-Counters. So siehst du sofort, ob Regeln matchen oder ob du Traffic ungewollt blockierst.
Router# show ip access-lists
Router# show access-lists
Router# show ip interface gigabitEthernet0/0Praxis-Checkliste: So vermeidest du Lockouts bei ACL-Changes
Diese Reihenfolge ist praxiserprobt und reduziert Risiko deutlich.
- Aktuellen Management-Pfad identifizieren (Source-IP, Interface, Port)
- Admin-Source-IP als erste Permit-Regel hinzufügen
- Named ACL mit Sequenzen nutzen, keine „Copy/Paste-Rewrites“
- ACL erst binden, wenn Permits vollständig sind
- Hit-Counters prüfen, Logging nur gezielt aktivieren
- Fallback-Zugang bereit halten (Console/Out-of-Band)
Copy & Paste: Quick-Checks
show ip access-lists
show running-config | include access-group
show running-config | section line vty
show ip interface gigabitEthernet0/0
show logging | include ACL|ACCESSLIST|DENYKonfiguration speichern
Wenn Management-Zugriff bestätigt ist und die ACL wie erwartet matcht, speichere die Konfiguration.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
