Разница между списком доступа и списком префиксов?
Может кто-нибудь объяснить с примером, какая разница между списком доступа и списком префиксов.
7 ответов
Вот история того, как они возникли (и почему они такие, как они есть):
- В самые ранние дни Интернета люди начали просить фильтры пакетов (также списки доступа).
- Сначала Cisco реализовала простые списки доступа (фильтрация по адресам хостов-получателей, дополненных масками подстановочных знаков), но, конечно, они были недостаточно хороши, чтобы блокировать (например) SMTP, поэтому они создали расширенные списки доступа, которые могут IP-адреса источника и назначения (с битами подстановочных знаков на обоих - эти биты позволяют вам сопоставлять целые префиксы), протоколы, номера портов ...
Итак: список доступа = фильтр пакетов.
Позже (но еще несколько десятилетий назад) люди начали запускать несколько протоколов маршрутизации в одном окне и хотели перераспределить информацию между ними. Не проблема, но вы не хотите, чтобы ВСЕ информация, которую вы распространили в другом протоколе маршрутизации, - вам нужны МАРШРУТНЫЕ ФИЛЬТРЫ. Как обычно, все выглядит как гвоздь, если у вас есть молот, и, таким образом, инженеры Cisco реализовали фильтры маршрутов с уже имеющимся объектом - списками доступа.
В этот момент: список доступа = фильтр пакетов (а иногда и фильтр маршрута)
С появлением бесклассовой маршрутизации (да, это так давно - кто-то все еще помнит дни адресов класса А, класса B и класса C), люди хотели перераспределять префиксы определенного размера между протоколами маршрутизации. Например: рекламируйте все /24s из OSPF в BGP, но не в /32s. Невозможно сделать доступ к спискам доступа. Время для нового kludge: давайте использовать расширенный список доступа и давайте притвориться, что исходный IP-адрес в фильтрах пакетов представляет собой сетевой адрес (фактически префиксный адрес), а IP-адрес назначения в той же строке фильтра пакетов представляет собой маску подсети.
До сих пор: списки доступа = фильтры пакетов. Простые списки доступа также служат фильтрами маршрутов (только для сетевых адресов), а расширенные списки доступа служат в качестве фильтров маршрута, соответствующих адресам и маскам подсети.
К счастью, в то время кто-то сохранил разлад и начал задаваться вопросом, что именно блестящие умы, которые решили повторно использовать расширенные списки ACL для фильтров маршрутов, имеют смысл, когда они получили эту блестящую идею.
Конечный результат: Cisco IOS получила префиксные списки, которые (почти) идентичны по функциональности расширенным спискам доступа, действующим в качестве фильтров маршрутов, но отображаются в формате, который обычный человек имеет возможность понять.
Сегодня: используйте списки доступа для фильтров пакетов и списки префиксов для фильтров маршрутов. Вы все равно можете использовать списки доступа в качестве фильтров маршрутов, но не выполнять его .
Имеет смысл?
Не много.
Оба они предоставляют средства для фильтрации по сетевым адресам, но есть несколько ключевых отличий:
- Расширенный ACL может фильтровать на основе информации «более высокого уровня», то есть TCP /UDP-порт. Префиксные списки не могут.
- Расширенные /стандартные ACL могут использовать маски подстановочных знаков, которые позволяют определять произвольные адреса или диапазоны адресов. Префиксные списки не могут этого сделать.
- Префиксные списки могут совпадать с длиной префиксов - минимальной или максимальной длиной с ключевыми словами "ge" и "le" соответственно.
Для политики маршрутизации люди предпочитают использовать списки префикса, потому что некоторые считают, что они более «выразительны», но не так много, чтобы ограничить вас использованием того или другого - это будет то, что ситуация /требования вызовите.
Префикс-список используется для фильтрации маршрутов и перераспределения маршрутов, поскольку он соответствует префиксам, которые отправляются, принимаются или присутствуют в таблице маршрутизации или таблице BGP. Они соответствуют битам в префиксе, но также и по префиксу. ACL можно использовать для получения множества дополнительных функций, таких как: фильтрация трафика, сопоставление трафика для QoS, сопоставление трафика для NAT, VPN, маршрутизация на основе политик и т. Д. Они также могут использоваться для маршрутных фильтров и перераспределения, но их синтаксис тогда отличается от того, когда они используются для других целей.
В дополнение к тому, что сказал Джон Дженсен, я бы добавил, что ACL также используются для целей безопасности (например, для ограничения удаленного доступа), в то время как префикс-список не может выполнять эту функцию самостоятельно.
Префикс-листы привязаны к L3, в то время как ACL может идти на один уровень вверх, принося дополнительную функциональность.
Для визуального сравнения см. эту ссылку: http://mellowd.co.uk/CCIE /? р = 447
Префиксные списки работают так же, как списки доступа; список префиксов содержит одну или несколько упорядоченных записей, которые обрабатываются последовательно.
Префикс-списки используются для указания адреса или диапазона адресов, которые необходимо разрешить или запретить в обновлениях маршрута ...
Список доступа предназначен для фильтрации трафика и amp; список префиксов для фильтрации маршрута