Das Internet Control Message Protocol (ICMP) ist ein wesentlicher Bestandteil der Netzwerkkommunikation und wird häufig für Diagnosezwecke wie Ping verwendet. Die Fähigkeit, ICMP-Verkehr zu filtern, ist eine wichtige Sicherheitsmaßnahme, insbesondere wenn man Ping-Anfragen gezielt erlauben oder verbieten möchte. In diesem Tutorial zeigen wir, wie Sie ICMP-Pakete mit Access Control Lists (ACLs) filtern können, ohne dass es zu Chaos kommt, und wie Sie Ping gezielt steuern. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die lernen möchten, wie sie ICMP richtig handhaben und gezielt filtern können.
1. ICMP filtern mit ACLs
Die Verwendung von Access Control Lists (ACLs) ermöglicht eine präzise Steuerung des ICMP-Verkehrs. Um ICMP zu filtern, müssen wir eine ACL erstellen, die Ping-Anfragen (ICMP Echo-Requests) entweder zulässt oder blockiert.
1.1 Erstellung einer ACL, die ICMP zulässt
Um Ping-Anfragen zuzulassen, erstellen Sie eine Extended ACL, die ICMP-Echo-Anfragen (Typ 8) und ICMP-Echo-Antworten (Typ 0) zulässt:
Router# configure terminal
Router(config)# access-list 100 permit icmp any any echo
Router(config)# access-list 100 permit icmp any any echo-reply
Router(config)# exit
Dieser Befehl erstellt eine ACL (Nummer 100), die ICMP-Echo-Anfragen und -Antworten für alle Hosts im Netzwerk zulässt.
1.2 Anwendung der ACL auf ein Interface
Nachdem die ACL erstellt wurde, muss sie auf das entsprechende Interface angewendet werden. In diesem Beispiel wenden wir die ACL auf das eingehende Interface an:
Router# configure terminal
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip access-group 100 in
Router(config-if)# exit
Mit diesem Befehl wird die ACL auf das Interface GigabitEthernet 0/1 angewendet, sodass ICMP-Echo-Anfragen und -Antworten durchgelassen werden.
2. ICMP filtern: Ping verbieten
Wenn Sie Ping-Anfragen verbieten möchten, können Sie die gleiche ACL verwenden und ICMP-Echo-Anfragen und -Antworten blockieren.
2.1 Erstellung einer ACL, die ICMP verbietet
Um Ping-Anfragen zu blockieren, verwenden Sie diese erweiterten ACL-Regeln:
Router# configure terminal
Router(config)# access-list 100 deny icmp any any echo
Router(config)# access-list 100 deny icmp any any echo-reply
Router(config)# access-list 100 permit ip any any
Router(config)# exit
Mit diesem Befehl wird ICMP (Ping) blockiert, jedoch wird der restliche Verkehr weiterhin erlaubt. Der letzte Befehl stellt sicher, dass alle anderen IP-Pakete zugelassen werden.
2.2 Anwendung der ACL auf das Interface
Wie zuvor muss die ACL auf das Interface angewendet werden, um sicherzustellen, dass ICMP-Pakete blockiert werden:
Router# configure terminal
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip access-group 100 in
Router(config-if)# exit
Durch Anwenden dieser ACL wird der Ping-Verkehr (ICMP) auf dem Interface blockiert.
3. Überprüfung der ACL und der ICMP-Filter
Nach der Konfiguration der ACL sollten Sie sicherstellen, dass die Regeln ordnungsgemäß angewendet wurden und wie gewünscht arbeiten.
3.1 Überprüfung der ACL-Konfiguration
Verwenden Sie den folgenden Befehl, um alle ACLs anzuzeigen und sicherzustellen, dass Ihre Regeln korrekt konfiguriert sind:
Router# show access-lists
Dieser Befehl zeigt alle ACLs und deren Regeln an, die auf dem Router konfiguriert sind.
3.2 Überprüfung des ICMP-Verkehrs
Verwenden Sie den folgenden Befehl, um zu sehen, ob ICMP erfolgreich gefiltert wird:
Router# show ip interface gigabitethernet 0/1
Dieser Befehl zeigt die Konfiguration des Interfaces und alle ACLs, die darauf angewendet wurden.
3.3 Überprüfung der Ping-Funktionalität
Um zu überprüfen, ob Ping-Anfragen ordnungsgemäß blockiert oder zugelassen werden, können Sie den ping-Befehl von einem anderen Gerät ausführen:
PC1> ping 192.168.1.1
Wenn die ACL so konfiguriert ist, dass Ping-Anfragen blockiert werden, sollte die Antwort „Destination Unreachable“ oder „Request Timed Out“ sein. Wenn Ping zugelassen wird, sollten Sie eine Antwort erhalten.
4. Best Practices für das Filtern von ICMP
Das Filtern von ICMP kann aus Sicherheitsgründen nützlich sein, insbesondere wenn Sie Netzwerkangriffe wie Ping-of-Death oder Denial-of-Service-Angriffe (DoS) verhindern möchten. Es gibt jedoch einige Best Practices, die Sie beim Filtern von ICMP beachten sollten:
- Vermeiden Sie das vollständige Blockieren von ICMP, da dies die Netzwerkdiagnose erschweren kann.
- Filtern Sie nur spezifische ICMP-Typen (z. B. Echo-Anfragen und Echo-Antworten), um die Diagnosemöglichkeiten nicht zu stark einzuschränken.
- Wenden Sie ACLs spezifisch auf Eingangs- oder Ausgangsverkehr an, um gezielte Kontrolle über den Verkehr zu ermöglichen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
