March 3, 2026

ACLs auf Cisco Router: Standard vs. Extended (mit Beispielen)

Access Control Lists (ACLs) auf Cisco Routern sind ein zentrales Werkzeug für Traffic-Kontrolle: Du kannst damit Pakete nach Quelle, Ziel, Protokoll und Port erlauben oder blockieren. Für Einsteiger ist der wichtigste Unterschied: Standard ACLs filtern nur nach Quell-IP, Extended ACLs sind deutlich granularer und können zusätzlich Ziel, Protokolle und Ports berücksichtigen. Mit den richtigen Platzierungsregeln (Standard nahe am Ziel, Extended nahe an der Quelle) bleiben ACLs übersichtlich und vermeiden Nebenwirkungen.

Was ist eine ACL auf Cisco?

Eine ACL ist eine geordnete Liste von Regeln (ACE: Access Control Entries). Jede Regel ist ein Match + Aktion (permit/deny). Pakete werden von oben nach unten geprüft. Trifft keine Regel zu, greift am Ende immer ein implizites „deny all“.

  • Top-down Verarbeitung: erste passende Regel gewinnt
  • Implizites deny ip any any am Ende
  • Optionales Logging pro Regel möglich

Merker: Implizites Deny

Wenn keine Regel matcht  →  Deny

Standard ACL: Filter nur nach Quell-IP

Standard ACLs sind einfach, aber grob: Sie können ausschließlich die Quell-IP (Source) prüfen. Dadurch sind sie geeignet, wenn du Traffic aus bestimmten Netzen grundsätzlich erlauben oder blockieren willst.

  • Kriterium: nur Source IP
  • Keine Ports, kein Ziel, kein Protokoll-Feintuning
  • Typische Einsätze: NAT-Auswahl, VTY-Zugriff, grobe Segmentgrenzen

Beispiel: Standard ACL erlaubt nur ein Management-Netz

Router# configure terminal
Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)# access-list 10 deny any
Router(config)# end

Beispiel: Standard ACL als Named ACL (empfohlen)

Router# configure terminal
Router(config)# ip access-list standard MGMT_ONLY
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# end

Extended ACL: Filter nach Quelle, Ziel, Protokoll und Port

Extended ACLs sind das Standardwerkzeug für Sicherheitsregeln, weil du sehr präzise steuern kannst, welcher Traffic erlaubt ist. Du kannst Protokolle (TCP/UDP/ICMP), Quell- und Ziel-IP sowie Ports definieren.

  • Kriterien: Source, Destination, Protokoll, Ports
  • Geeignet für Service-Freigaben (HTTP/HTTPS/DNS), Segmentierung
  • Best Practice: Named Extended ACLs für bessere Lesbarkeit

Beispiel: Clients dürfen nur HTTPS ins Internet

Router# configure terminal
Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# end

Beispiel: DNS und HTTPS erlauben, Rest blocken

Router# configure terminal
Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# permit udp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 53
Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# end

Wildcard Masks schnell verstehen (für ACLs essenziell)

Cisco ACLs nutzen Wildcard Masks (invertierte Subnetmask). Eine /24 hat die Subnetmask 255.255.255.0, die Wildcard dazu ist 0.0.0.255. Damit matchst du ein gesamtes /24.

Wildcard-Formel

Wildcard = 255.255.255.255 Subnetmask

Beispiele

  • /24 (255.255.255.0) → 0.0.0.255
  • /30 (255.255.255.252) → 0.0.0.3
  • Single Host: host 192.168.10.10 (statt 0.0.0.0)

Platzierungsregel: Standard nahe am Ziel, Extended nahe an der Quelle

Die klassische Designregel hilft, Nebenwirkungen zu vermeiden: Standard ACLs sind grob und sollten daher nah am Ziel angewendet werden, damit du nicht versehentlich andere Ziele blockierst. Extended ACLs sind präzise und können daher nah an der Quelle sitzen, um unnötigen Traffic früh zu stoppen.

  • Standard ACL: nahe am Ziel anwenden
  • Extended ACL: nahe an der Quelle anwenden
  • Ausnahme: wenn Routing/Topologie es anders erfordern

ACL anwenden: Inbound vs. Outbound auf Interfaces

ACLs wirken auf Interfaces, entweder eingehend (in) oder ausgehend (out). Inbound ist in der Praxis häufig bevorzugt, weil du Traffic früh verwerfen kannst. Outbound kann sinnvoll sein, wenn du Traffic nach Routing-Entscheidungen filtern willst.

ACL inbound auf ein Interface setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# ip access-group USERS_OUT in
Router(config-if)# end

ACL outbound auf ein Interface setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip access-group USERS_OUT out
Router(config-if)# end

Praktische Beispiele: Standard vs. Extended in typischen Use-Cases

Die folgenden Beispiele zeigen, wann welche ACL sinnvoll ist, ohne unnötig komplex zu werden.

Standard ACL: VTY-Zugriff nur aus Management-Netz

Router# configure terminal
Router(config)# ip access-list standard VTY_MGMT
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# end

Router(config)# line vty 0 4

Router(config-line)# access-class VTY_MGMT in

Router(config-line)# transport input ssh

Router(config-line)# end

Extended ACL: Webserver (DMZ) nur auf 80/443 erreichbar

Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# permit tcp any host 203.0.113.10 eq 80
Router(config-ext-nacl)# permit tcp any host 203.0.113.10 eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# end

Extended ACL: ICMP nur eingeschränkt erlauben

Router# configure terminal
Router(config)# ip access-list extended ICMP_POLICY
Router(config-ext-nacl)# permit icmp 192.168.10.0 0.0.0.255 any echo
Router(config-ext-nacl)# permit icmp any 192.168.10.0 0.0.0.255 echo-reply
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# end

Reihenfolge, Sequenzen und Logging

ACL-Reihenfolge ist entscheidend. In Named ACLs kannst du Sequenznummern nutzen, um Regeln sauber einzufügen, statt ACLs komplett neu zu schreiben. Logging hilft, Drops zu verstehen, sollte aber gezielt eingesetzt werden.

Regel mit Sequenz einfügen (Named ACL)

Router# configure terminal
Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# 15 permit tcp 192.168.10.0 0.0.0.255 any eq 80
Router(config-ext-nacl)# end

Logging gezielt aktivieren

Router# configure terminal
Router(config)# ip access-list extended USERS_OUT
Router(config-ext-nacl)# deny ip any any log
Router(config-ext-nacl)# end

Verifikation: Trifft die ACL wie erwartet?

Nach dem Anwenden prüfst du Trefferzähler und Interface-Bindung. So erkennst du schnell, ob die ACL überhaupt am richtigen Ort sitzt und ob Regeln matchen.

Router# show ip access-lists
Router# show access-lists
Router# show ip interface gigabitEthernet0/0
Router# show running-config interface gigabitEthernet0/0

Typische Fehler und schnelle Fixes

ACL-Probleme sind oft „kleine“ Fehler mit großer Wirkung: falsche Wildcard, falsche Richtung (in/out), fehlende erlaubte Rückpakete oder das implizite Deny am Ende.

  • Wildcard falsch → falsches Netz wird gefiltert
  • ACL in falscher Richtung angewendet (in statt out)
  • TCP/UDP Rückverkehr nicht berücksichtigt (bei restriktiven Regeln)
  • Implizites Deny blockt „vergessene“ Protokolle (z. B. DNS, ICMP)
  • Regelreihenfolge falsch (deny vor permit)

Quick-Checks

show ip access-lists
show ip interface gigabitEthernet0/0
show running-config interface gigabitEthernet0/0
ping 8.8.8.8
traceroute 8.8.8.8

Konfiguration speichern

Wenn die ACL wie erwartet matcht und legitimer Traffic nicht unbeabsichtigt blockiert wird, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)