Differenza tra l'elenco di accesso e l'elenco dei prefissi?

Qualcuno può spiegare con un esempio qual è la differenza tra un elenco di accesso e un elenco di prefissi.

Ecco la storia di come sono nati (e perché sono così come sono):

• Nei primissimi giorni di Internet, le persone hanno iniziato a chiedere filtri per pacchetti (ovvero elenchi di accesso).
• Cisco ha implementato prima gli elenchi di accesso semplici (filtro sugli indirizzi host di destinazione, potenziati da maschere jolly), ma ovviamente non erano abbastanza buoni per bloccare (ad esempio) SMTP, quindi hanno creato elenchi di accesso estesi, che possono corrispondere su origine e destinazione Indirizzi IP (con bit jolly su entrambi - questi bit consentono di abbinare interi prefissi), protocolli, numeri di porta ...

Quindi: access list = filtro pacchetti.

Più tardi (ma ancora decenni fa) le persone hanno iniziato a eseguire più protocolli di routing nella stessa casella e volevano ridistribuire le informazioni tra di loro. Non è un problema, ma non vorresti TUTTE le informazioni che hai propagato nell'altro protocollo di routing: hai bisogno di ROUTE FILTERS. Come di solito, tutto sembra un chiodo se ti capita di avere un martello, e quindi gli ingegneri di Cisco hanno implementato i filtri di rotta con l'oggetto che già avevano: gli elenchi di accesso.

A questo punto: lista di accesso = filtro pacchetti (e talvolta filtro route)

Con l'avvento del routing senza classi (sì, è così tanto tempo fa - qualcuno ricorda ancora i giorni degli indirizzi di Classe A, Classe B e Classe C), le persone volevano ridistribuire prefissi di una certa dimensione tra i protocolli di routing. Ad esempio: pubblicizzare tutti / 24 da OSPF in BGP, ma non gli / 32. Impossibile fare con le liste di accesso. Tempo per un nuovo kludge: usiamo l'elenco di accesso esteso e facciamo finta che l'indirizzo IP di origine nel filtro pacchetti rappresenti l'indirizzo di rete (in realtà indirizzo prefisso) e l'indirizzo IP di destinazione nella stessa riga del filtro pacchetti rappresenti una maschera di sottorete.

Fin qui: elenchi di accesso = filtri pacchetti. Gli elenchi di accesso semplici fungono anche da filtri di instradamento (corrispondenti solo agli indirizzi di rete) e gli elenchi di accesso estesi fungono da filtri di instradamento corrispondenti agli indirizzi e alle maschere di sottorete.

Fortunatamente qualcuno in quel momento mantenne un briciolo di ragione e cominciò a chiedersi che cosa avevano senso esattamente le menti brillanti che avevano deciso di riutilizzare ACL estesi per i filtri di rotta quando avevano avuto quell'idea geniale.

Risultato finale: Cisco IOS ha ottenuto elenchi di prefissi, che sono (quasi) identici nella funzionalità agli elenchi di accesso estesi che fungono da filtri di rotta, ma visualizzati in un formato che un normale essere umano ha una possibilità di comprensione.

Oggi: utilizzare gli elenchi di accesso per i filtri di pacchetti e gli elenchi di prefissi per i filtri di route. Puoi comunque utilizzare gli elenchi di accesso come filtri di route ma non farlo .

Ha senso?

Non molto.

Entrambi forniscono mezzi per filtrare gli indirizzi di rete, ma ci sono un paio di differenze chiave:

• Gli ACL estesi possono filtrare in base a informazioni di "livello superiore", ovvero porta TCP / UDP. Gli elenchi di prefissi non possono.
• Gli ACL estesi / standard possono utilizzare maschere jolly che consentono di specificare indirizzi o intervalli di indirizzi arbitrari. Gli elenchi di prefissi non possono farlo.
• Gli elenchi di prefissi possono corrispondere sulle lunghezze del prefisso - lunghezze minime o massime rispettivamente con le parole chiave "ge" e "le".

Per la politica di routing, le persone tenderanno a preferire l'uso degli elenchi di prefissi perché alcuni ritengono di essere più "espressivi" ma non c'è molto che ti limiti a utilizzare l'uno o l'altro: sarà ciò che la situazione / requisiti richiedono.

L'elenco dei prefissi viene utilizzato per il filtraggio e la ridistribuzione del percorso perché corrisponde ai prefissi inviati, ricevuti o presenti nella tabella di routing o nella tabella BGP. Corrispondono ai bit del prefisso ma anche alla lunghezza del prefisso. Gli ACL possono essere utilizzati per molte più funzioni come: filtro del traffico, corrispondenza del traffico per QoS, corrispondenza del traffico per NAT, VPN, routing basato su criteri, ecc. Possono anche essere utilizzati per i filtri di percorso e la ridistribuzione, ma le loro sintassi sono quindi diverse da quando vengono utilizzati per altri scopi.

Oltre a quanto affermato da John Jensen, aggiungerei che gli ACL vengono utilizzati anche per motivi di sicurezza (ad es. Limitazione dell'accesso remoto) mentre l'elenco dei prefissi non può avere questa funzione per conto proprio.

Gli elenchi di prefissi si applicano a L3, mentre ACL può salire di un livello, offrendo funzionalità aggiuntive.

Per un confronto visivo, consultare questo link: http://mellowd.co.uk/ccie/?p=447

Gli elenchi di prefissi funzionano in modo molto simile agli elenchi di accesso; un elenco di prefissi contiene una o più voci ordinate che vengono elaborate in sequenza.

Gli elenchi di prefissi vengono utilizzati per specificare un indirizzo o un intervallo di indirizzi da autorizzare o rifiutare negli aggiornamenti del percorso ...

L'elenco di accesso è per il filtro del traffico e l'elenco dei prefissi è per il filtro del percorso