March 4, 2026

ACLs richtig platzieren: Inbound/Outbound Best Practices (Lab)

Access Control Lists (ACLs) sind ein grundlegendes Sicherheitsinstrument zur Steuerung des Netzwerkverkehrs. Sie bestimmen, welche Pakete den Router passieren dürfen und welche nicht. Bei der Platzierung von ACLs spielt es eine entscheidende Rolle, ob sie auf eingehenden (inbound) oder ausgehenden (outbound) Verkehr angewendet werden. In dieser Übung erfahren Sie, wie Sie ACLs richtig platzieren und Best Practices für die Anwendung von ACLs in verschiedenen Szenarien umsetzen. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die lernen möchten, wie ACLs optimal eingesetzt werden.

1. Was sind Inbound- und Outbound-ACLs?

Inbound- und Outbound-ACLs definieren, ob und wie der eingehende oder ausgehende Netzwerkverkehr durch den Router gefiltert wird. Der Hauptunterschied liegt darin, wann und wo die ACL auf den Datenverkehr angewendet wird.

1.1 Inbound-ACL

Eine Inbound-ACL wird auf eingehenden Verkehr angewendet, der in das Router-Interface eintritt. Sie filtert den Verkehr, bevor er das interne Netzwerk erreicht.

1.2 Outbound-ACL

Eine Outbound-ACL wird auf ausgehenden Verkehr angewendet, der das Router-Interface verlässt. Sie filtert den Verkehr, bevor er das Netzwerk verlässt.

2. Best Practices für die Platzierung von ACLs

Die richtige Platzierung von ACLs kann die Netzwerksicherheit verbessern und den Netzwerkverkehr effizient steuern. Es gibt einige Best Practices, die Sie beim Platzieren von ACLs beachten sollten.

2.1 Platzierung von Standard-ACLs

Standard-ACLs sollten immer näher an der Zieladresse angewendet werden, um die Auswirkungen auf den gesamten Netzwerkverkehr zu minimieren. Da Standard-ACLs nur nach der Quell-IP-Adresse filtern, sollten sie typischerweise am Ende des Netzwerkpfads platziert werden, um unnötige Blockierungen zu vermeiden.


Router# configure terminal
Router(config)# access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit any
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip access-group 1 in
Router(config-if)# exit

In diesem Beispiel blockiert die Standard-ACL mit der Nummer 1 eingehenden Verkehr von 192.168.1.0/24 und erlaubt allen anderen Verkehr. Die ACL wird auf das Interface für eingehenden Verkehr angewendet.

2.2 Platzierung von Extended-ACLs

Extended-ACLs bieten eine präzisere Kontrolle, da sie nach Quell- und Ziel-IP-Adressen, Protokollen und Ports filtern. Extended-ACLs sollten näher an der Quelle des Verkehrs angewendet werden, um den Verkehr frühzeitig zu filtern und unnötige Belastung auf das Netzwerk zu vermeiden.


Router# configure terminal
Router(config)# access-list 100 deny tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface gigabitethernet 0/0
Router(config-if)# ip access-group 100 out
Router(config-if)# exit

In diesem Beispiel wird der HTTP-Verkehr (Port 80) von 192.168.1.0/24 nach 10.0.0.0/24 blockiert. Die ACL wird auf den ausgehenden Verkehr des Interfaces angewendet.

3. Die Reihenfolge der ACL-Regeln

Die Reihenfolge der ACL-Regeln ist von entscheidender Bedeutung. ACLs arbeiten nach dem Prinzip “first match”, was bedeutet, dass die erste Regel, die zutrifft, ausgeführt wird. Daher sollten Sie die restriktivsten Regeln oben platzieren, um sicherzustellen, dass der Verkehr effizient gefiltert wird.

3.1 Beispiel für eine gut strukturierte ACL

Hier sehen Sie, wie eine gut strukturierte ACL aussieht, die zuerst den kritischen Verkehr blockiert und dann alle anderen Verbindungen zulässt:


Router# configure terminal
Router(config)# access-list 100 deny tcp any any eq 23
Router(config)# access-list 100 deny udp any any eq 161
Router(config)# access-list 100 permit ip any any
Router(config)# interface gigabitethernet 0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# exit

In diesem Beispiel wird Telnet (Port 23) und SNMP (Port 161) blockiert, während alle anderen Verbindungen zugelassen werden. Diese Struktur stellt sicher, dass unerwünschte Protokolle zuerst blockiert werden.

4. Überprüfung und Troubleshooting

Nach der Konfiguration von ACLs sollten Sie deren Funktionsweise überprüfen und sicherstellen, dass sie wie gewünscht arbeiten. Verwenden Sie die folgenden Befehle zur Überprüfung:

4.1 Überprüfung der angewendeten ACLs

Verwenden Sie den folgenden Befehl, um alle auf einem Router konfigurierten ACLs anzuzeigen:


Router# show access-lists

Dieser Befehl zeigt alle ACLs an, einschließlich der konfigurierten Regeln und ihrer Anwendung auf die Interfaces.

4.2 Überprüfung der ACL-Anwendung auf Interfaces

Verwenden Sie diesen Befehl, um zu überprüfen, welche ACL auf ein bestimmtes Interface angewendet wurde:


Router# show ip interface gigabitethernet 0/0

Dieser Befehl zeigt die angewendeten ACLs für das angegebene Interface an, sowohl für eingehenden als auch ausgehenden Verkehr.

4.3 Troubleshooting von ACL-Problemen

Falls ACLs nicht wie erwartet funktionieren, überprüfen Sie die folgenden Punkte:

  • Stellen Sie sicher, dass die ACL in der richtigen Richtung (eingehend oder ausgehend) angewendet wurde.
  • Überprüfen Sie, ob die Regeln in der richtigen Reihenfolge angeordnet sind, da ACLs nach dem “first match”-Prinzip arbeiten.
  • Vergewissern Sie sich, dass keine „implicit deny“-Regel den Verkehr blockiert. Diese Regel blockiert alles, was nicht explizit erlaubt ist.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane