Разница между списком доступа и списком префиксов?

Может кто-нибудь объяснить с примером, какая разница между списком доступа и списком префиксов.

19 голосов | спросил NAVEEN GEORGE 22 Mayam13 2013, 08:26:29

7 ответов


23

Вот история того, как они возникли (и почему они такие, как они есть):

  • В самые ранние дни Интернета люди начали просить фильтры пакетов (также списки доступа).
  • Сначала Cisco реализовала простые списки доступа (фильтрация по адресам хостов-получателей, дополненных масками подстановочных знаков), но, конечно, они были недостаточно хороши, чтобы блокировать (например) SMTP, поэтому они создали расширенные списки доступа, которые могут IP-адреса источника и назначения (с битами подстановочных знаков на обоих - эти биты позволяют вам сопоставлять целые префиксы), протоколы, номера портов ...

Итак: список доступа = фильтр пакетов.

Позже (но еще несколько десятилетий назад) люди начали запускать несколько протоколов маршрутизации в одном окне и хотели перераспределить информацию между ними. Не проблема, но вы не хотите, чтобы ВСЕ информация, которую вы распространили в другом протоколе маршрутизации, - вам нужны МАРШРУТНЫЕ ФИЛЬТРЫ. Как обычно, все выглядит как гвоздь, если у вас есть молот, и, таким образом, инженеры Cisco реализовали фильтры маршрутов с уже имеющимся объектом - списками доступа.

В этот момент: список доступа = фильтр пакетов (а иногда и фильтр маршрута)

С появлением бесклассовой маршрутизации (да, это так давно - кто-то все еще помнит дни адресов класса А, класса B и класса C), люди хотели перераспределять префиксы определенного размера между протоколами маршрутизации. Например: рекламируйте все /24s из OSPF в BGP, но не в /32s. Невозможно сделать доступ к спискам доступа. Время для нового kludge: давайте использовать расширенный список доступа и давайте притвориться, что исходный IP-адрес в фильтрах пакетов представляет собой сетевой адрес (фактически префиксный адрес), а IP-адрес назначения в той же строке фильтра пакетов представляет собой маску подсети.

До сих пор: списки доступа = фильтры пакетов. Простые списки доступа также служат фильтрами маршрутов (только для сетевых адресов), а расширенные списки доступа служат в качестве фильтров маршрута, соответствующих адресам и маскам подсети.

К счастью, в то время кто-то сохранил разлад и начал задаваться вопросом, что именно блестящие умы, которые решили повторно использовать расширенные списки ACL для фильтров маршрутов, имеют смысл, когда они получили эту блестящую идею.

Конечный результат: Cisco IOS получила префиксные списки, которые (почти) идентичны по функциональности расширенным спискам доступа, действующим в качестве фильтров маршрутов, но отображаются в формате, который обычный человек имеет возможность понять.

Сегодня: используйте списки доступа для фильтров пакетов и списки префиксов для фильтров маршрутов. Вы все равно можете использовать списки доступа в качестве фильтров маршрутов, но не выполнять его .

Имеет смысл?

ответил ioshints 22 Maypm13 2013, 17:33:50
8

Не много.

Оба они предоставляют средства для фильтрации по сетевым адресам, но есть несколько ключевых отличий:

  • Расширенный ACL может фильтровать на основе информации «более высокого уровня», то есть TCP /UDP-порт. Префиксные списки не могут.
  • Расширенные /стандартные ACL могут использовать маски подстановочных знаков, которые позволяют определять произвольные адреса или диапазоны адресов. Префиксные списки не могут этого сделать.
  • Префиксные списки могут совпадать с длиной префиксов - минимальной или максимальной длиной с ключевыми словами "ge" и "le" соответственно.

Для политики маршрутизации люди предпочитают использовать списки префикса, потому что некоторые считают, что они более «выразительны», но не так много, чтобы ограничить вас использованием того или другого - это будет то, что ситуация /требования вызовите.

ответил John Jensen 22 Mayam13 2013, 08:53:23
5

Префикс-список используется для фильтрации маршрутов и перераспределения маршрутов, поскольку он соответствует префиксам, которые отправляются, принимаются или присутствуют в таблице маршрутизации или таблице BGP. Они соответствуют битам в префиксе, но также и по префиксу. ACL можно использовать для получения множества дополнительных функций, таких как: фильтрация трафика, сопоставление трафика для QoS, сопоставление трафика для NAT, VPN, маршрутизация на основе политик и т. Д. Они также могут использоваться для маршрутных фильтров и перераспределения, но их синтаксис тогда отличается от того, когда они используются для других целей.

ответил alain cadet 22 Maypm13 2013, 15:04:45
2

В дополнение к тому, что сказал Джон Дженсен, я бы добавил, что ACL также используются для целей безопасности (например, для ограничения удаленного доступа), в то время как префикс-список не может выполнять эту функцию самостоятельно.

Префикс-листы привязаны к L3, в то время как ACL может идти на один уровень вверх, принося дополнительную функциональность.

Для визуального сравнения см. эту ссылку: http://mellowd.co.uk/CCIE /? р = 447

ответил Calin Chiorean 22 Maypm13 2013, 13:15:06
0

Префиксные списки работают так же, как списки доступа; список префиксов содержит одну или несколько упорядоченных записей, которые обрабатываются последовательно.

ответил Avinash sutar 6 J000000Sunday14 2014, 10:30:42
-2

Префикс-списки используются для указания адреса или диапазона адресов, которые необходимо разрешить или запретить в обновлениях маршрута ...

ответил Avinash sutar 6 J000000Sunday14 2014, 10:15:55
-3

Список доступа предназначен для фильтрации трафика и amp; список префиксов для фильтрации маршрута

ответил Joseph Chacko 27 MaramThu, 27 Mar 2014 11:03:45 +04002014-03-27T11:03:45+04:0011 2014, 11:03:45

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132