Разница между списком доступа и списком префиксов?

Может кто-то объяснить на примере, в чем разница между списком доступа и списком префиксов.

Вот история того, как они возникли (и почему они такие, какие есть):

• В самые первые дни Интернета люди начали спрашивать фильтры пакетов (или списки доступа).
• Сначала Cisco реализовала простые списки доступа (фильтрация по адресам хостов назначения, дополненная масками подстановки), но, конечно, они не были достаточно хороши, чтобы блокировать (например) SMTP, поэтому они создали расширенные списки доступа, которые могут совпадать по источнику и месту назначения IP-адреса (с битами подстановочных знаков на обоих - эти биты позволяют вам соответствовать целым префиксам), протоколы, номера портов ...

Итак: список доступа = фильтр пакетов.

Позже (но еще десятилетия назад) люди начали запускать несколько протоколов маршрутизации на одной и той же машине и хотели перераспределить информацию между ними. Не проблема, но вы не хотели бы, чтобы ВСЕ данные, которые вы распространяли в другом протоколе маршрутизации - вам нужны МАРШРУТНЫЕ ФИЛЬТРЫ. Как обычно, все выглядит как гвоздь, если у вас есть молоток, и поэтому инженеры Cisco внедрили фильтры маршрутов с объектом, который у них уже был - списки доступа.

На данный момент: список доступа = фильтр пакетов (и иногда фильтр маршрута)

С появлением бесклассовой маршрутизации (да, это так давно - кто-нибудь еще помнит времена адресов классов A, B и C), люди хотели перераспределить префиксы определенного размера между протоколами маршрутизации. Например: объявите все / 24s из OSPF в BGP, но не / 32s. Невозможно сделать со списками доступа. Время для нового клижа: давайте использовать расширенный список доступа и представим, что IP-адрес источника в фильтре пакетов представляет сетевой адрес (фактически адрес префикса), а IP-адрес назначения в той же строке фильтра пакетов представляет маску подсети.

Это далеко: списки доступа = фильтры пакетов. Простые списки доступа также служат фильтрами маршрутов (сопоставляются только по сетевым адресам), а расширенные списки доступа служат фильтрами маршрутов, сопоставляющими адреса и маски подсетей.

К счастью, в то время кто-то сохранил рассудок и начал задумываться о том, какие именно блестящие умы, решившие повторно использовать расширенные списки ACL для фильтров маршрутов, имеют смысл курить, когда получили эту блестящую идею.

Конечный результат: Cisco IOS получил списки префиксов, которые (почти) идентичны по функциональности расширенным спискам доступа, выступающим в качестве фильтров маршрута, но отображаются в формате, который обычный человек имеет шанс понять.

Сегодня: используйте списки доступа для фильтров пакетов и списки префиксов для фильтров маршрутов. Вы все еще можете использовать списки доступа в качестве фильтров маршрута, но не делайте этого .

Имеет смысл?

Не очень много.

Оба они предоставляют средства для фильтрации сетевых адресов, но есть несколько ключевых отличий:

• Расширенные ACL могут фильтровать на основе информации «более высокого уровня», то есть порта TCP / UDP. Списки префиксов не могут.
• Расширенные / стандартные ACL могут использовать маски с подстановочными знаками, которые позволяют задавать произвольные адреса или диапазоны адресов. Списки префиксов не могут этого сделать.
• Списки префиксов могут совпадать по длине префикса - минимальной или максимальной длины с ключевыми словами "ge" и "le" соответственно.

Что касается политики маршрутизации, люди предпочитают использовать списки префиксов, потому что некоторые считают, что они более «выразительны», но мало что ограничивает вас в использовании одного или другого - это будет то, что требует ситуация / требования.

Список префиксов используется для фильтрации маршрутов и перераспределения маршрутов, поскольку он совпадает с префиксами, отправленными, полученными или представленными в таблице маршрутизации или таблице BGP. Они совпадают по битам в префиксе, но также и по длине префикса. Списки ACL могут использоваться для гораздо большего количества функций, таких как: фильтрация трафика, сопоставление трафика для QoS, сопоставление трафика для NAT, VPN, маршрутизация на основе политик и т. Д. Они также могут использоваться для фильтров маршрутов и перераспределения, но их синтаксис тогда отличается от когда они используются для других целей.

В дополнение к тому, что сказал Джон Дженсен, я бы добавил, что списки ACL также используются в целях безопасности (например, для ограничения удаленного доступа), в то время как список префиксов не может иметь эту функцию самостоятельно.

Списки префиксов придерживаются L3, в то время как ACL может подниматься на один уровень вверх, принося дополнительную функциональность.

Для визуального сравнения перейдите по этой ссылке: http://mellowd.co.uk/ccie/?p=447

Списки префиксов работают очень похоже на списки доступа; Список префиксов содержит одну или несколько упорядоченных записей, которые обрабатываются последовательно.

Списки префиксов используются для указания адреса или диапазона адресов, которые следует разрешить или запретить в обновлениях маршрута ...

Список доступа предназначен для фильтрации трафика, а список префиксов - для фильтрации маршрутов.