Ai đó có thể giải thích với một ví dụ về sự khác biệt giữa danh sách truy cập và danh sách tiền tố.
Ai đó có thể giải thích với một ví dụ về sự khác biệt giữa danh sách truy cập và danh sách tiền tố.
Câu trả lời:
Đây là lịch sử về cách chúng ra đời (và tại sao chúng là như vậy):
Vì vậy: danh sách truy cập = bộ lọc gói.
Sau này (nhưng vẫn còn nhiều thập kỷ trước) mọi người bắt đầu chạy nhiều giao thức định tuyến trên cùng một hộp và muốn phân phối lại thông tin giữa chúng. Không phải là vấn đề, nhưng bạn sẽ không muốn TẤT CẢ thông tin bạn đã truyền vào giao thức định tuyến khác - bạn cần LỌC ROUTE. Như thường lệ, mọi thứ trông giống như một cái đinh nếu bạn có búa, và do đó các kỹ sư của Cisco đã triển khai các bộ lọc tuyến đường với đối tượng họ đã có - danh sách truy cập.
Tại thời điểm này: danh sách truy cập = bộ lọc gói (và đôi khi bộ lọc tuyến đường)
Với sự ra đời của định tuyến không có lớp (vâng, từ lâu rồi - có ai còn nhớ những ngày của địa chỉ Lớp A, Lớp B và Lớp C), mọi người muốn phân phối lại tiền tố có kích thước nhất định giữa các giao thức định tuyến. Ví dụ: quảng cáo tất cả / 24 giây từ OSPF vào BGP, nhưng không quảng cáo / 32 giây. Không thể làm với danh sách truy cập. Thời gian cho một loại bùn mới: hãy sử dụng danh sách truy cập mở rộng và giả sử địa chỉ IP nguồn trong bộ lọc gói đại diện cho địa chỉ mạng (thực tế là địa chỉ tiền tố) và địa chỉ IP đích trong cùng một dòng của bộ lọc gói đại diện cho mặt nạ mạng con.
Điều này đến nay: danh sách truy cập = bộ lọc gói. Danh sách truy cập đơn giản cũng đóng vai trò là bộ lọc tuyến (chỉ khớp với địa chỉ mạng) và danh sách truy cập mở rộng đóng vai trò là bộ lọc tuyến phù hợp với địa chỉ và mặt nạ mạng con.
May mắn thay, ai đó đã giữ lại một lý do vụn vặt vào thời điểm đó và bắt đầu tự hỏi chính xác những gì mà những bộ óc thông minh quyết định sử dụng lại ACL mở rộng cho các bộ lọc tuyến đường có ý nghĩa là hút thuốc khi họ có ý tưởng tuyệt vời đó.
Kết quả cuối cùng: Cisco IOS có các danh sách tiền tố, gần như giống nhau về chức năng với các danh sách truy cập mở rộng đóng vai trò là bộ lọc tuyến đường, nhưng được hiển thị ở định dạng mà một người bình thường có cơ hội hiểu được.
Hôm nay: sử dụng danh sách truy cập cho bộ lọc gói và danh sách tiền tố cho bộ lọc tuyến. Bạn vẫn có thể sử dụng danh sách truy cập làm bộ lọc tuyến đường nhưng không làm điều đó .
Có ý nghĩa?
Không phải là rất nhiều.
Cả hai đều cung cấp phương tiện để lọc trên các địa chỉ mạng, nhưng có một số khác biệt chính:
Đối với chính sách định tuyến, mọi người sẽ có xu hướng thích sử dụng danh sách tiền tố vì một số người cảm thấy rằng họ "biểu cảm" hơn nhưng không có nhiều hạn chế để bạn sử dụng cái này hay cái khác - đó sẽ là điều mà tình huống / yêu cầu yêu cầu.
Danh sách tiền tố được sử dụng để lọc tuyến đường và phân phối lại tuyến đường vì nó khớp với các tiền tố được gửi, nhận hoặc hiện trong bảng định tuyến hoặc bảng BGP. Chúng khớp với các bit trong tiền tố nhưng cũng có độ dài tiền tố. ACL có thể được sử dụng cho nhiều tính năng hơn như: lọc lưu lượng, lưu lượng phù hợp cho QoS, lưu lượng phù hợp cho NAT, VPN, Định tuyến dựa trên chính sách, v.v. Chúng cũng có thể được sử dụng cho các bộ lọc tuyến và phân phối lại nhưng cú pháp của chúng khác với khi chúng được sử dụng cho các mục đích khác.
Ngoài những gì John Jensen đã nói, tôi sẽ thêm rằng ACL cũng được sử dụng cho mục đích bảo mật (ví dụ: hạn chế truy cập từ xa) trong khi danh sách tiền tố không thể có chức năng này.
Danh sách tiền tố dính vào L3, trong khi ACL có thể tăng thêm một lớp, mang lại chức năng bổ sung.
Để so sánh trực quan, xem liên kết này: http://mellowd.co.uk/ccie/?p=447
Danh sách tiền tố hoạt động rất giống với danh sách truy cập; một danh sách tiền tố chứa một hoặc nhiều mục được đặt hàng được xử lý tuần tự.
Danh sách tiền tố được sử dụng để chỉ định địa chỉ hoặc phạm vi địa chỉ được phép hoặc từ chối trong cập nhật tuyến đường ...
Danh sách truy cập dành cho lọc lưu lượng và danh sách tiền tố dành cho lọc tuyến