Sự khác biệt giữa danh sách truy cập và danh sách tiền tố?


21

Ai đó có thể giải thích với một ví dụ về sự khác biệt giữa danh sách truy cập và danh sách tiền tố.

Câu trả lời:


25

Đây là lịch sử về cách chúng ra đời (và tại sao chúng là như vậy):

  • Trong những ngày đầu của Internet, mọi người bắt đầu yêu cầu các bộ lọc gói (còn gọi là danh sách truy cập).
  • Trước tiên, Cisco đã triển khai danh sách truy cập đơn giản (lọc theo địa chỉ máy chủ đích, được tăng cường bằng mặt nạ ký tự đại diện), nhưng tất nhiên chúng không đủ tốt để chặn (ví dụ) SMTP, vì vậy họ đã tạo danh sách truy cập mở rộng, có thể khớp với nguồn và đích Địa chỉ IP (có các bit ký tự đại diện trên cả hai - các bit này cho phép bạn khớp toàn bộ tiền tố), giao thức, số cổng ...

Vì vậy: danh sách truy cập = bộ lọc gói.

Sau này (nhưng vẫn còn nhiều thập kỷ trước) mọi người bắt đầu chạy nhiều giao thức định tuyến trên cùng một hộp và muốn phân phối lại thông tin giữa chúng. Không phải là vấn đề, nhưng bạn sẽ không muốn TẤT CẢ thông tin bạn đã truyền vào giao thức định tuyến khác - bạn cần LỌC ROUTE. Như thường lệ, mọi thứ trông giống như một cái đinh nếu bạn có búa, và do đó các kỹ sư của Cisco đã triển khai các bộ lọc tuyến đường với đối tượng họ đã có - danh sách truy cập.

Tại thời điểm này: danh sách truy cập = bộ lọc gói (và đôi khi bộ lọc tuyến đường)

Với sự ra đời của định tuyến không có lớp (vâng, từ lâu rồi - có ai còn nhớ những ngày của địa chỉ Lớp A, Lớp B và Lớp C), mọi người muốn phân phối lại tiền tố có kích thước nhất định giữa các giao thức định tuyến. Ví dụ: quảng cáo tất cả / 24 giây từ OSPF vào BGP, nhưng không quảng cáo / 32 giây. Không thể làm với danh sách truy cập. Thời gian cho một loại bùn mới: hãy sử dụng danh sách truy cập mở rộng và giả sử địa chỉ IP nguồn trong bộ lọc gói đại diện cho địa chỉ mạng (thực tế là địa chỉ tiền tố) và địa chỉ IP đích trong cùng một dòng của bộ lọc gói đại diện cho mặt nạ mạng con.

Điều này đến nay: danh sách truy cập = bộ lọc gói. Danh sách truy cập đơn giản cũng đóng vai trò là bộ lọc tuyến (chỉ khớp với địa chỉ mạng) và danh sách truy cập mở rộng đóng vai trò là bộ lọc tuyến phù hợp với địa chỉ và mặt nạ mạng con.

May mắn thay, ai đó đã giữ lại một lý do vụn vặt vào thời điểm đó và bắt đầu tự hỏi chính xác những gì mà những bộ óc thông minh quyết định sử dụng lại ACL mở rộng cho các bộ lọc tuyến đường có ý nghĩa là hút thuốc khi họ có ý tưởng tuyệt vời đó.

Kết quả cuối cùng: Cisco IOS có các danh sách tiền tố, gần như giống nhau về chức năng với các danh sách truy cập mở rộng đóng vai trò là bộ lọc tuyến đường, nhưng được hiển thị ở định dạng mà một người bình thường có cơ hội hiểu được.

Hôm nay: sử dụng danh sách truy cập cho bộ lọc gói và danh sách tiền tố cho bộ lọc tuyến. Bạn vẫn có thể sử dụng danh sách truy cập làm bộ lọc tuyến đường nhưng không làm điều đó .

Có ý nghĩa?


"Ví dụ: quảng cáo tất cả / 24 giây từ OSPF vào BGP, nhưng không phải là / 32. Không thể thực hiện với danh sách truy cập" -không thể nhưng tẻ nhạt
MiniMe

Không thể thực hiện với danh sách truy cập tiêu chuẩn nếu bạn thực sự muốn khớp trên mặt nạ mạng con. Vâng, bạn có thể giả vờ rằng kết hợp trên trường máy chủ bằng 0 là như nhau;)
iosh gợi ý

10

Không phải là rất nhiều.

Cả hai đều cung cấp phương tiện để lọc trên các địa chỉ mạng, nhưng có một số khác biệt chính:

  • ACL mở rộng có thể lọc dựa trên thông tin "lớp cao hơn", tức là cổng TCP / UDP. Danh sách tiền tố không thể.
  • ACL mở rộng / tiêu chuẩn có thể sử dụng mặt nạ ký tự đại diện cho phép đặc tả địa chỉ tùy ý hoặc phạm vi địa chỉ. Danh sách tiền tố không thể làm điều này.
  • Danh sách tiền tố có thể khớp với độ dài tiền tố - tương ứng độ dài tối thiểu hoặc tối đa với từ khóa "ge" và "le".

Đối với chính sách định tuyến, mọi người sẽ có xu hướng thích sử dụng danh sách tiền tố vì một số người cảm thấy rằng họ "biểu cảm" hơn nhưng không có nhiều hạn chế để bạn sử dụng cái này hay cái khác - đó sẽ là điều mà tình huống / yêu cầu yêu cầu.


2
Danh sách tiền tố thường được tìm thấy với bộ lọc trong và ngoài của BGP, chẳng hạn như từ chối mọi tiền tố nhận được là ge / 24 hoặc tạo danh sách các tiền tố AS cục bộ sẽ được quảng cáo (để không quảng cáo nhiều hơn bạn nên và trở thành phương tiện ).
generalnetworkerror

6

Danh sách tiền tố được sử dụng để lọc tuyến đường và phân phối lại tuyến đường vì nó khớp với các tiền tố được gửi, nhận hoặc hiện trong bảng định tuyến hoặc bảng BGP. Chúng khớp với các bit trong tiền tố nhưng cũng có độ dài tiền tố. ACL có thể được sử dụng cho nhiều tính năng hơn như: lọc lưu lượng, lưu lượng phù hợp cho QoS, lưu lượng phù hợp cho NAT, VPN, Định tuyến dựa trên chính sách, v.v. Chúng cũng có thể được sử dụng cho các bộ lọc tuyến và phân phối lại nhưng cú pháp của chúng khác với khi chúng được sử dụng cho các mục đích khác.


2

Ngoài những gì John Jensen đã nói, tôi sẽ thêm rằng ACL cũng được sử dụng cho mục đích bảo mật (ví dụ: hạn chế truy cập từ xa) trong khi danh sách tiền tố không thể có chức năng này.

Danh sách tiền tố dính vào L3, trong khi ACL có thể tăng thêm một lớp, mang lại chức năng bổ sung.

Để so sánh trực quan, xem liên kết này: http://mellowd.co.uk/ccie/?p=447


0

Danh sách tiền tố hoạt động rất giống với danh sách truy cập; một danh sách tiền tố chứa một hoặc nhiều mục được đặt hàng được xử lý tuần tự.


Xin chào và cảm ơn câu trả lời của bạn. Bạn có ý định thêm hai câu trả lời khác nhau? Trong khi Stack Exchange không bận tâm đến hai câu trả lời khác nhau cho cùng một câu hỏi, hầu hết mọi người chỉ trả lời bằng một. Nếu bạn thực sự dự định đây là một chỉnh sửa cho câu trả lời ban đầu của bạn, vui lòng sao chép văn bản này và chỉnh sửa nó thành câu trả lời khác của bạn . Sau đó xóa câu trả lời này.
Mike Pennington

-2

Danh sách tiền tố được sử dụng để chỉ định địa chỉ hoặc phạm vi địa chỉ được phép hoặc từ chối trong cập nhật tuyến đường ...


-3

Danh sách truy cập dành cho lọc lưu lượng và danh sách tiền tố dành cho lọc tuyến

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.