Access Control Lists (ACLs) sind ein wesentlicher Bestandteil der Netzwerksicherheit und dienen der Filterung von Netzwerkverkehr. Es gibt zwei Haupttypen von ACLs: Standard-ACLs und Extended-ACLs. Standard-ACLs filtern nur nach Quell-IP-Adressen, während Extended-ACLs mehr Flexibilität bieten und nach Quell- und Ziel-IP-Adressen sowie Protokollen und Ports filtern können. In diesem Artikel zeigen wir, wie Sie beide Arten von ACLs im Packet Tracer konfigurieren und üben können. Diese Übung richtet sich an Einsteiger und Junior Network Engineers, die mehr über die Anwendung von ACLs lernen möchten.
1. Standard ACL
Eine Standard Access Control List (Standard ACL) ist einfach und filtert nur basierend auf der Quell-IP-Adresse des Pakets. Standard ACLs werden in der Regel näher am Zielgerät angewendet, da sie nur die Quelle des Verkehrs überprüfen.
1.1 Standard ACL konfigurieren
Um eine Standard ACL zu erstellen, verwenden Sie die folgenden Schritte:
Router# configure terminal
Router(config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 10 permit any
Router(config)# exit
Dieser Befehl erstellt eine Standard ACL mit der Nummer 10, die den gesamten Verkehr von der IP-Adresse 192.168.1.0/24 blockiert und allen anderen Verkehr zulässt.
1.2 Standard ACL auf ein Interface anwenden
Nachdem die ACL erstellt wurde, müssen Sie sie auf das entsprechende Interface anwenden. In diesem Beispiel wenden wir die ACL auf das Interface GigabitEthernet 0/1 an:
Router# configure terminal
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip access-group 10 in
Router(config-if)# exit
Dieser Befehl wendet die Standard ACL auf den eingehenden Verkehr des Interfaces an, sodass alle Pakete mit der Quelle 192.168.1.0/24 blockiert werden.
2. Extended ACL
Eine Extended Access Control List (Extended ACL) bietet mehr Flexibilität, da sie nicht nur nach Quell-IP-Adressen filtert, sondern auch nach Ziel-IP-Adressen, Protokollen (TCP, UDP, ICMP) und Ports. Diese Art von ACL wird normalerweise näher an der Quelle des Verkehrs angewendet.
2.1 Extended ACL konfigurieren
Um eine Extended ACL zu erstellen, verwenden Sie den folgenden Befehl:
Router# configure terminal
Router(config)# access-list 100 deny tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# exit
Dieser Befehl erstellt eine Extended ACL mit der Nummer 100, die den HTTP-Verkehr (Port 80) vom Netzwerk 192.168.1.0/24 zum Netzwerk 10.0.0.0/24 blockiert und allen anderen Verkehr zulässt.
2.2 Extended ACL auf ein Interface anwenden
Nach der Erstellung der Extended ACL müssen Sie diese ebenfalls auf das gewünschte Interface anwenden. In diesem Beispiel wenden wir die ACL auf das Interface GigabitEthernet 0/0 an:
Router# configure terminal
Router(config)# interface gigabitethernet 0/0
Router(config-if)# ip access-group 100 in
Router(config-if)# exit
Dieser Befehl wendet die Extended ACL auf den eingehenden Verkehr des Interfaces an und blockiert HTTP-Verkehr von 192.168.1.0/24 zu 10.0.0.0/24.
3. Überprüfung der ACL-Konfiguration
Um sicherzustellen, dass Ihre ACL korrekt funktioniert, können Sie die Konfiguration mit den folgenden Befehlen überprüfen:
3.1 Anzeigen der ACLs
Verwenden Sie den folgenden Befehl, um die konfigurierten ACLs anzuzeigen:
Router# show access-lists
Dieser Befehl zeigt alle konfigurierten ACLs an, einschließlich der Regeln, die definiert wurden.
3.2 Überprüfung der angewendeten ACLs auf Interfaces
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob und wo die ACL auf Interfaces angewendet wurde:
Router# show ip interface gigabitethernet 0/1
Dieser Befehl zeigt an, welche ACLs auf dem angegebenen Interface angewendet wurden.
4. Troubleshooting von ACL-Problemen
Wenn die ACLs nicht wie erwartet funktionieren, überprüfen Sie die folgenden Punkte:
- Stellen Sie sicher, dass die ACL in der richtigen Richtung (eingehend oder ausgehend) angewendet wurde.
- Vergewissern Sie sich, dass die Regeln in der ACL korrekt definiert sind und die richtigen IP-Adressen und Ports ansprechen.
- Überprüfen Sie, ob die ACL-Nummer korrekt ist und nicht mit anderen existierenden ACLs kollidiert.
- Stellen Sie sicher, dass keine „implicit deny“-Regel die Kommunikation blockiert. Diese Regel blockiert den gesamten Verkehr, der nicht explizit erlaubt wurde.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
