Standard vs. Extended ACL: Platzierung, Reihenfolge, Logging – Expert-Übung

Access Control Lists (ACLs) sind ein essenzieller Bestandteil der Netzwerksicherheit. Sie bieten eine Möglichkeit, den Datenverkehr auf Routern und Switches zu filtern. In diesem Artikel gehen wir auf die Unterschiede zwischen Standard- und Extended ACLs ein, ihre Platzierung und Reihenfolge sowie die Implementierung von Logging, um den Datenverkehr effizient zu steuern und zu überwachen.

1. Unterschied zwischen Standard- und Extended ACL

Der Unterschied zwischen Standard- und Extended ACLs liegt in ihrer Komplexität und den Möglichkeiten, die sie zur Steuerung des Datenverkehrs bieten. Beide Arten von ACLs filtern den Netzwerkverkehr basierend auf IP-Adressen, aber Extended ACLs bieten zusätzliche Funktionen wie das Filtern nach Protokollen und Ports.

Standard ACLs:

• Standard-ACLs filtern nur nach Quell-IP-Adressen.
• Sie verwenden eine einfache Syntax und sind daher leichter zu konfigurieren.
• Standard-ACLs bieten weniger Flexibilität, da sie keine weiteren Kriterien wie Zieladressen oder Protokolle berücksichtigen können.

Extended ACLs:

• Extended-ACLs bieten eine höhere Flexibilität, da sie neben der Quell-IP-Adresse auch die Ziel-IP-Adresse, das Protokoll (z. B. TCP, UDP) und die Ports berücksichtigen können.
• Sie sind komplexer und bieten detailliertere Kontrolle über den Datenverkehr.
• Extended-ACLs sind ideal, um spezifischere Sicherheitsrichtlinien für den Netzwerkverkehr zu erstellen.

2. Platzierung von ACLs

Die Platzierung von ACLs auf Routern oder Switches beeinflusst, wie und wann die ACLs auf den Datenverkehr angewendet werden. Es ist wichtig, die richtige Platzierung zu wählen, um die gewünschte Funktionalität zu erzielen.

Platzierung auf Schnittstellen:

• ACLs können auf eingehenden (Inbound) oder ausgehenden (Outbound) Schnittstellen angewendet werden.
• Die Platzierung von ACLs auf eingehenden Schnittstellen ermöglicht es, den Datenverkehr zu filtern, bevor er in das lokale Netzwerk gelangt.
• Die Platzierung auf ausgehenden Schnittstellen filtert den Datenverkehr, bevor er das Netzwerk verlässt.

Best Practices zur Platzierung:

• Verwenden Sie Standard-ACLs möglichst nah an der Quelle des Datenverkehrs.
• Verwenden Sie Extended-ACLs näher am Ziel, um spezifischen Datenverkehr besser zu filtern.

3. Reihenfolge von ACLs

Die Reihenfolge der ACLs ist entscheidend, da ACLs von oben nach unten verarbeitet werden. Sobald ein Paket auf eine ACL trifft, wird es überprüft, bis eine Übereinstimmung gefunden wird. Wenn keine Übereinstimmung vorliegt, wird der Standardwert angewendet, der in den meisten Fällen „deny all“ ist.

Reihenfolge von ACLs:

• Die Reihenfolge in der ACL-Konfiguration ist entscheidend. Der Router oder Switch überprüft die Regeln der ACL von oben nach unten.
• Sobald eine Regel den Datenverkehr zulässt oder blockiert, wird keine weitere Regel überprüft.
• Die Regeln sollten daher von spezifisch nach allgemein geordnet werden, um unerwünschten Datenverkehr zu blockieren und gleichzeitig den gewünschten Datenverkehr zuzulassen.

4. Implementierung von Logging

Logging ist ein wichtiges Werkzeug, um den Netzwerkverkehr zu überwachen und Fehlfunktionen in der ACL zu diagnostizieren. Durch das Hinzufügen von Logging zu den ACL-Regeln können Administratoren nachvollziehen, welcher Verkehr von einer Regel blockiert wird.

Logging für ACLs aktivieren:

• Durch das Hinzufügen des „log“-Befehls zu einer Regel können Sie Protokolle für den blockierten Verkehr erstellen.
• Ein einfaches Beispiel für das Aktivieren von Logging für eine ACL-Regel wäre:

Router(config)# access-list 100 deny ip any host 192.168.1.1 log

Wichtige Hinweise zum Logging:

• Das Aktivieren von Logging kann die Leistung beeinträchtigen, wenn zu viele Protokolle erzeugt werden. Daher sollte es nur auf kritischen ACLs oder für das Troubleshooting verwendet werden.
• Protokolle können mit dem Befehl show logging eingesehen werden.

5. Troubleshooting von ACLs

Beim Troubleshooting von ACLs gibt es mehrere gängige Probleme, die auftreten können. Es ist wichtig, eine systematische Vorgehensweise zu haben, um Probleme schnell zu identifizieren und zu beheben.

Typische Probleme bei ACLs:

• Fehlende Regeln: Eine Regel fehlt möglicherweise, die den gewünschten Verkehr zulässt oder blockiert.
• Reihenfolge der Regeln: Wenn die Regeln in der falschen Reihenfolge stehen, kann der Verkehr unerwartet zugelassen oder blockiert werden.
• Logging: Ein ACL-Fehler kann durch das Hinzufügen von „log“ zu bestimmten Regeln einfach nachgewiesen werden.

CLI-Befehl zur Fehlerbehebung:

• Verwenden Sie den Befehl show access-lists, um alle ACLs und deren Konfiguration anzuzeigen.
• Verwenden Sie den Befehl show ip interface, um sicherzustellen, dass die ACL korrekt auf die Schnittstelle angewendet wurde.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.