March 13, 2026

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Das Thema Standard ACL vs. Extended ACL ist für alle wichtig, die Netzwerke, Sicherheit und CCNA-Grundlagen besser verstehen möchten. Viele Anfänger lernen zuerst, dass ein Router Pakete weiterleitet und Netzwerke miteinander verbindet. Das ist richtig. In der Praxis reicht es aber oft nicht, Verkehr einfach nur weiterzuleiten. Man muss auch entscheiden, welcher Datenverkehr erlaubt ist und welcher blockiert werden soll. Genau hier kommen ACLs ins Spiel. ACL steht für Access Control List. Auf Cisco-Geräten sind ACLs wichtige Werkzeuge, um Netzwerkverkehr zu filtern und zu kontrollieren. Besonders wichtig für die CCNA-Prüfung ist der Unterschied zwischen Standard ACL und Extended ACL. Beide arbeiten mit Regeln, aber sie prüfen nicht dieselben Merkmale. Für IT-Studenten, Anfänger im Bereich Netzwerke und Junior Network Engineers ist dieses Wissen sehr wertvoll. Wenn du verstehst, worin die Unterschiede liegen und welche typischen Anwendungsfälle es gibt, kannst du ACLs viel sicherer konfigurieren und viele weitere Themen im Bereich Netzwerksicherheit leichter verstehen.

Table of Contents

Was ist eine ACL?

ACL steht für Access Control List. Eine ACL ist eine Liste von Regeln, mit der ein Cisco-Gerät prüft, ob ein Paket erlaubt oder blockiert werden soll. Diese Regeln werden auf Routern und manchmal auch auf Layer-3-Switches verwendet.

Eine ACL entscheidet also nicht, wohin ein Paket geroutet wird. Sie entscheidet zuerst, ob dieses Paket überhaupt weitergelassen werden darf.

Einfach erklärt

Eine ACL bedeutet:

Das Gerät prüft ein Paket nach festen Regeln und entscheidet dann: erlauben oder blockieren.

Das ist die wichtigste Grundidee des ganzen Themas.

Warum braucht man ACLs?

In Netzwerken soll nicht immer jeder Verkehr überall erlaubt sein. Manchmal sollen nur bestimmte Benutzer, Geräte oder Dienste auf ein Ziel zugreifen dürfen. In anderen Fällen will man nur den Fernzugriff auf ein Netzwerkgerät einschränken oder einen Dienst wie HTTP oder Ping kontrollieren.

ACLs helfen dabei, solche Regeln umzusetzen.

Typische Gründe für ACLs

  • Bestimmten Verkehr blockieren
  • Bestimmten Verkehr erlauben
  • Zugriff auf Geräte absichern
  • Netzwerkbereiche besser kontrollieren
  • Grundlegende Sicherheitsregeln umsetzen

Für Anfänger ist wichtig: ACLs sind ein zentrales Werkzeug für Verkehrssteuerung und Sicherheit.

Wie arbeitet eine ACL grundsätzlich?

Eine ACL besteht aus mehreren Regeln. Diese Regeln werden von oben nach unten geprüft. Sobald ein Paket zu einer Regel passt, wird die entsprechende Aktion sofort ausgeführt. Danach wird die Liste für dieses Paket nicht weiter geprüft.

Deshalb ist die Reihenfolge der Regeln sehr wichtig.

Der Ablauf in einfachen Schritten

  • Ein Paket trifft auf das Gerät
  • Die ACL prüft die erste Regel
  • Wenn die Regel passt, wird die Aktion ausgeführt
  • Wenn sie nicht passt, wird die nächste Regel geprüft
  • Das geht weiter, bis eine Regel passt oder das Ende erreicht ist

Für Anfänger ist wichtig: Die erste passende Regel entscheidet.

Welche Grundaktionen gibt es in ACLs?

In ACLs gibt es zwei wichtigste Aktionen:

  • permit
  • deny

permit bedeutet, dass der Verkehr erlaubt wird. deny bedeutet, dass der Verkehr blockiert wird.

Einfach erklärt

  • permit = erlauben
  • deny = verbieten

Diese beiden Wörter bilden das Herz jeder ACL.

Was ist das implizite Deny?

Am Ende jeder ACL gibt es gedanklich eine unsichtbare Regel. Diese Regel nennt man oft implizites deny oder implicit deny any. Das bedeutet: Wenn ein Paket zu keiner passenden Permit-Regel passt, wird es am Ende automatisch blockiert.

Diese Regel ist nicht immer sichtbar in der Konfiguration, gehört aber trotzdem zum Verhalten jeder ACL.

Einfach erklärt

Wenn nichts ausdrücklich erlaubt wird, wird es am Ende automatisch verboten.

Für Anfänger ist wichtig: Das implizite Deny ist einer der wichtigsten ACL-Grundsätze.

Welche zwei ACL-Arten sind für CCNA besonders wichtig?

Für die CCNA-Grundlagen sind vor allem diese beiden ACL-Arten wichtig:

  • Standard ACL
  • Extended ACL

Beide filtern Verkehr, aber sie schauen nicht auf dieselben Informationen im Paket.

Was ist eine Standard ACL?

Eine Standard ACL prüft hauptsächlich die Quell-IP-Adresse eines Pakets. Sie interessiert sich also vor allem dafür, von welchem Gerät oder aus welchem Netzwerk das Paket kommt.

Sie prüft in der Regel nicht direkt das Ziel und auch nicht den Dienst oder die Portnummer.

Einfach erklärt

Eine Standard ACL fragt vor allem:

Woher kommt dieses Paket?

Für Anfänger ist wichtig: Standard ACLs sind einfacher, aber weniger genau.

Was ist eine Extended ACL?

Eine Extended ACL ist viel genauer. Sie kann nicht nur die Quell-IP-Adresse prüfen, sondern auch die Ziel-IP-Adresse, das Protokoll und oft sogar Portnummern. Dadurch kann sie sehr genau festlegen, welcher Verkehr erlaubt oder blockiert wird.

Einfach erklärt

Eine Extended ACL fragt zum Beispiel:

Woher kommt das Paket, wohin geht es und welchen Dienst nutzt es?

Für Anfänger ist wichtig: Extended ACLs bieten deutlich mehr Kontrolle.

Was ist der wichtigste Unterschied zwischen Standard ACL und Extended ACL?

Der wichtigste Unterschied liegt in der Tiefe der Prüfung.

Standard ACL

  • Prüft hauptsächlich die Quelle
  • Einfacher Aufbau
  • Weniger flexibel

Extended ACL

  • Prüft Quelle, Ziel, Protokoll und oft Ports
  • Genauer Aufbau
  • Viel flexibler

Einfach gesagt:

  • Standard ACL = einfacher Blick auf die Quelle
  • Extended ACL = genauer Blick auf den gesamten Verkehr

Warum ist eine Standard ACL weniger genau?

Weil eine Standard ACL meist nur die Quelladresse kennt, kann sie nicht unterscheiden, zu welchem Ziel ein Paket möchte oder welcher Dienst verwendet wird. Wenn du mit einer Standard ACL Verkehr aus einem bestimmten Netz blockierst, dann blockierst du diesen Verkehr oft allgemein und nicht nur für einen speziellen Dienst.

Dadurch kann eine Standard ACL schnell zu grob sein.

Einfach erklärt

Standard ACLs sehen oft nur, wer sendet, aber nicht genau, was mit dem Verkehr passieren soll.

Warum ist eine Extended ACL genauer?

Eine Extended ACL sieht mehr Informationen im Paket. Dadurch kann sie sehr gezielt Regeln aufstellen. Du kannst damit zum Beispiel erlauben, dass ein bestimmtes Netz nur Webverkehr zu einem Server senden darf, aber keinen anderen Verkehr.

Das macht Extended ACLs in der Praxis oft viel nützlicher.

Einfach erklärt

Extended ACLs können viel genauer entscheiden, welcher Verkehr erlaubt wird.

Welche Informationen prüft eine Standard ACL?

Eine Standard ACL prüft hauptsächlich die Quell-IP-Adresse. Mehr braucht sie für ihre Grundfunktion nicht.

Typische Prüfung

  • Welches Gerät sendet?
  • Aus welchem Netz kommt das Paket?

Für Anfänger ist wichtig: Zieladresse, Protokoll und Port sind bei Standard ACLs normalerweise nicht das Hauptthema.

Welche Informationen prüft eine Extended ACL?

Eine Extended ACL kann mehrere Merkmale prüfen. Genau das macht sie so flexibel.

Typische Prüfungen

  • Quell-IP-Adresse
  • Ziel-IP-Adresse
  • Protokoll wie IP, TCP, UDP oder ICMP
  • Portnummern wie 80, 443 oder 22

Für Anfänger ist wichtig: Extended ACLs erlauben viel genauere Regeln als Standard ACLs.

Was ist eine typische Standard ACL-Regel?

Ein einfaches Beispiel für eine Standard ACL ist:

access-list 10 permit 192.168.10.0 0.0.0.255

Diese Regel erlaubt Verkehr aus dem Netz 192.168.10.0/24.

Wenn danach keine passende weitere Permit-Regel folgt, wird anderer Verkehr am Ende durch das implizite Deny blockiert.

Einfach erklärt

Diese Regel sagt:

Erlaube Verkehr, der aus diesem Quellnetz kommt.

Was ist eine typische Extended ACL-Regel?

Ein einfaches Beispiel für eine Extended ACL ist:

access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80

Diese Regel erlaubt TCP-Verkehr aus dem Netz 192.168.10.0/24 zu jedem Ziel, wenn Port 80 verwendet wird.

Das ist typischer Webverkehr über HTTP.

Einfach erklärt

Diese Regel sagt:

Erlaube Webverkehr von diesem Quellnetz zu beliebigen Zielen.

Was sind typische Anwendungsfälle für Standard ACLs?

Standard ACLs sind sinnvoll, wenn eine einfache Quellkontrolle ausreicht. Sie werden oft dort genutzt, wo man nur schnell entscheiden will, welches Netz oder welches Gerät grundsätzlich erlaubt ist.

Typische Anwendungsfälle

  • Ein bestimmtes Quellnetz erlauben oder blockieren
  • Zugriff auf VTY-Linien einschränken
  • Einfachen Verwaltungszugriff kontrollieren

Für Anfänger ist wichtig: Standard ACLs sind nützlich, wenn die Quelle der wichtigste Prüfpunkt ist.

Was sind typische Anwendungsfälle für Extended ACLs?

Extended ACLs sind sinnvoll, wenn genauer gefiltert werden soll. In der Praxis ist das sehr häufig der Fall. Man möchte oft nicht nur wissen, woher der Verkehr kommt, sondern auch, wohin er geht und welcher Dienst genutzt wird.

Typische Anwendungsfälle

  • Nur bestimmte Dienste erlauben
  • Webverkehr erlauben, andere Dienste blockieren
  • Ping-Verkehr kontrollieren
  • Verkehr zwischen bestimmten Netzen gezielt steuern
  • Genauere Sicherheitsregeln umsetzen

Für Anfänger ist wichtig: Extended ACLs sind oft die bessere Wahl, wenn man präzise filtern will.

Wie merkt man sich die Platzierungsregel für Standard ACLs?

Für Standard ACLs gibt es eine bekannte Grundregel:

Standard ACLs möglichst nah am Ziel platzieren.

Der Grund ist einfach: Weil Standard ACLs nur die Quelle prüfen, könnten sie sonst zu viel Verkehr blockieren, wenn man sie zu früh im Netz einsetzt.

Einfach erklärt

Standard ACLs setzt man eher später, damit sie nicht zu grob wirken.

Wie merkt man sich die Platzierungsregel für Extended ACLs?

Für Extended ACLs gibt es ebenfalls eine bekannte Grundregel:

Extended ACLs möglichst nah an der Quelle platzieren.

Weil Extended ACLs so genau filtern können, ist es sinnvoll, unerwünschten Verkehr früh zu stoppen.

Einfach erklärt

Extended ACLs setzt man eher früher, weil sie genauer arbeiten und unerwünschten Verkehr schnell stoppen können.

Warum ist die Platzierung von ACLs wichtig?

Eine ACL an der falschen Stelle kann zu Problemen führen. Bei Standard ACLs kann zu viel Verkehr blockiert werden. Bei Extended ACLs kann Verkehr unnötig weit durchs Netz laufen, obwohl man ihn schon früher hätte stoppen können.

Darum ist nicht nur die Regel selbst wichtig, sondern auch ihr Ort im Netzwerk.

Einfach erklärt

Die richtige ACL am falschen Ort kann trotzdem ein schlechtes Ergebnis liefern.

Was ist der Unterschied bei der Komplexität?

Standard ACLs sind einfacher zu schreiben und leichter zu verstehen. Extended ACLs sind mächtiger, aber auch komplexer. Man muss mehr Parameter kennen und genauer denken.

Standard ACL

  • Einfacher Aufbau
  • Schneller zu schreiben
  • Weniger flexibel

Extended ACL

  • Komplexerer Aufbau
  • Mehr Möglichkeiten
  • Mehr Präzision

Für Anfänger ist wichtig: Standard ACLs sind leichter, Extended ACLs sind oft praktischer.

Wie wirken sich Wildcard Masks auf beide ACL-Arten aus?

Sowohl Standard ACLs als auch Extended ACLs nutzen oft Wildcard Masks. Diese Masken helfen dabei, festzulegen, welche IP-Adressen genau gemeint sind.

Die Grundregel ist:

  • 0 = genau prüfen
  • 255 = egal

Für Anfänger ist wichtig: Wildcard Masks sind bei beiden ACL-Arten sehr wichtig.

Was bedeuten “host” und “any” in beiden ACL-Arten?

Die Begriffe host und any werden bei Standard und Extended ACLs sehr oft verwendet.

host

Steht für genau eine einzelne IP-Adresse.

any

Steht für alle möglichen Adressen.

Beispiele

access-list 10 permit host 192.168.10.10
access-list 101 permit ip any any

Für Anfänger ist wichtig: Diese beiden Wörter machen ACL-Regeln oft viel lesbarer.

Wann sollte man lieber Standard ACLs verwenden?

Standard ACLs sind sinnvoll, wenn die Aufgabe einfach ist und du nur auf die Quelle schauen musst. Das ist zum Beispiel bei einfachem Zugriffsschutz auf Verwaltungszugänge oft ausreichend.

Geeignete Situationen

  • Nur bestimmte Admin-Netze dürfen auf VTY zugreifen
  • Ein bestimmtes Quellnetz soll grundsätzlich erlaubt oder blockiert werden
  • Die Regel soll bewusst einfach bleiben

Für Anfänger ist wichtig: Standard ACLs haben ihren Platz, auch wenn sie einfacher sind.

Wann sollte man lieber Extended ACLs verwenden?

Extended ACLs sind sinnvoll, wenn du genau filtern möchtest. Das ist in vielen echten Netzwerken der Fall. Sobald Quelle allein nicht reicht, ist Extended ACL meist die bessere Wahl.

Geeignete Situationen

  • Nur HTTP oder HTTPS erlauben
  • Ping blockieren, anderen Verkehr erlauben
  • Verkehr zu bestimmten Servern gezielt steuern
  • Quelle und Ziel gleichzeitig prüfen

Für Anfänger ist wichtig: Extended ACLs sind oft die praktischere Lösung bei echten Sicherheitsregeln.

Welche typischen Fehler machen Anfänger bei Standard ACLs?

Bei Standard ACLs passieren oft Fehler, weil sie nur die Quelle prüfen. Viele Anfänger erwarten mehr Kontrolle, als diese ACL-Art eigentlich liefern kann.

Häufige Fehler

  • Standard ACL zu früh im Netz platzieren
  • Zu viel Verkehr unbeabsichtigt blockieren
  • Denken, Ziel oder Dienst würden auch geprüft
  • Das implizite Deny vergessen

Für Anfänger ist wichtig: Standard ACLs sind grob und müssen bewusst eingesetzt werden.

Welche typischen Fehler machen Anfänger bei Extended ACLs?

Extended ACLs sind genauer, aber dadurch auch fehleranfälliger. Kleine Fehler bei Protokoll, Port oder Richtung können schnell dazu führen, dass gewünschter Verkehr nicht funktioniert.

Häufige Fehler

  • Falsches Protokoll wählen
  • Portnummern verwechseln
  • Quell- und Zielrichtung vertauschen
  • Die ACL an der falschen Stelle anwenden
  • Regeln in falscher Reihenfolge schreiben

Für Anfänger ist wichtig: Extended ACLs bieten viel Kontrolle, brauchen aber sauberes Denken.

Wie prüft man ACLs auf Cisco-Geräten?

Nach der Konfiguration sollte man ACLs immer prüfen. Dafür gibt es auf Cisco-Geräten wichtige Befehle.

ACL-Regeln anzeigen

show access-lists

Damit sieht man die Listen und oft auch, wie oft Regeln getroffen wurden.

Konfiguration prüfen

show running-config

Damit kann man sehen, wie die ACL aufgebaut ist und wo sie angewendet wurde.

Interface-Informationen prüfen

show ip interface

Damit sieht man, welche ACLs an welchen Interfaces aktiv sind.

Für Anfänger ist wichtig: ACLs immer testen und nicht nur schreiben.

Wie hilft dieses Wissen bei der Fehlersuche?

Wenn Netzwerkverkehr plötzlich nicht mehr funktioniert, ist eine ACL oft ein sehr wichtiger Prüfpunkt. Wenn du den Unterschied zwischen Standard und Extended ACL kennst, kannst du schneller verstehen, welche Art von Regel überhaupt das Problem sein könnte.

Wichtige Prüffragen

  • Ist eine Standard oder eine Extended ACL aktiv?
  • Prüft sie nur die Quelle oder auch Ziel und Dienst?
  • Ist sie an der richtigen Stelle angewendet?
  • Greift das implizite Deny?
  • Ist die Reihenfolge der Regeln korrekt?

Gerade diese klare Denkweise hilft sehr bei Troubleshooting und Lab-Aufgaben.

Wie lernen Anfänger Standard ACL und Extended ACL am besten?

Der beste Weg ist, zuerst den Unterschied in einem einfachen Satz zu lernen: Standard ACL prüft hauptsächlich die Quelle, Extended ACL prüft viel genauer. Danach solltest du typische Beispiele und Platzierungsregeln üben. Wenn du dann noch das implizite Deny und die Reihenfolge sicher beherrschst, wird das Thema deutlich leichter.

Ein guter Lernweg

  • Zuerst Standard ACL und Extended ACL klar trennen
  • Dann Quelle gegen Quelle-Ziel-Dienst vergleichen
  • Die Platzierungsregeln bewusst lernen
  • Einfache Cisco-Beispiele praktisch üben
  • Mit show access-lists und show ip interface die Wirkung prüfen

Wenn du Standard ACL vs. Extended ACL wirklich sauber verstanden hast, hast du eine sehr wichtige Grundlage für Cisco-Sicherheit, Verkehrssteuerung und viele weitere CCNA-Themen. Genau dieses Thema hilft dir dabei, Unterschiede und typische Anwendungsfälle logisch und praxisnah zu verstehen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Passwortrichtlinien verstehen: Komplexität, Verwaltung, MFA und Zertifikate

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt