ความแตกต่างระหว่างรายการเข้าถึงและรายการคำนำหน้า?

ใครช่วยอธิบายด้วยตัวอย่างความแตกต่างระหว่างรายการเข้าถึงและรายการคำนำหน้า

นี่คือประวัติความเป็นมาของวิธีการเป็น (และทำไมพวกเขาถึงเป็นแบบนี้):

• ในวันแรก ๆ ของอินเทอร์เน็ตผู้คนเริ่มถามตัวกรองแพ็คเก็ต (aka access lists)
• Cisco ใช้รายการเข้าถึงอย่างง่ายก่อน (กรองที่อยู่โฮสต์ปลายทางเติมด้วยหน้ากากตัวแทน) แต่แน่นอนว่าไม่ได้ดีพอที่จะบล็อก (ตัวอย่าง) SMTP ดังนั้นพวกเขาจึงสร้างรายการเข้าถึงเพิ่มเติมซึ่งสามารถจับคู่กับแหล่งที่มาและปลายทาง ที่อยู่ IP (ที่มีบิต wildcards บนทั้งสอง - บิตเหล่านี้ช่วยให้คุณสามารถจับคู่คำนำหน้าทั้งหมด) โปรโตคอลหมายเลขพอร์ต ...

ดังนั้น: access list = ตัวกรองแพ็คเก็ต

ต่อมา (แต่ยังคงเป็นทศวรรษที่ผ่านมา) ผู้คนเริ่มใช้โปรโตคอลการเราติ้งหลายโปรโตคอลในกล่องเดียวกันและต้องการกระจายข้อมูลระหว่างกัน ไม่ใช่ปัญหา แต่คุณไม่ต้องการข้อมูลทั้งหมดที่คุณเผยแพร่ในโปรโตคอลการเราต์อื่น ๆ - คุณต้องมี ROUTE FILTERS ตามปกติแล้วทุกอย่างดูเหมือนจะเป็นรูปธรรมหากคุณมีค้อนดังนั้นวิศวกรของ Cisco จึงใช้ตัวกรองเส้นทางกับวัตถุที่พวกเขามีอยู่แล้ว - เข้าถึงรายการ

ณ จุดนี้: access list = ตัวกรองแพ็คเก็ต (และบางครั้งตัวกรองเส้นทาง)

ด้วยการมาถึงของการกำหนดเส้นทางแบบไร้คลาส (ใช่มันนานมาแล้ว - ไม่มีใครจำวันของ Class A, Class B และที่อยู่ Class C) ได้ผู้คนต้องการแจกจ่ายคำนำหน้าของขนาดที่แน่นอนระหว่างโปรโตคอลการเราต์ ตัวอย่างเช่น: โฆษณาทั้งหมด / 24s จาก OSPF ไปยัง BGP แต่ไม่ใช่ / 32s ไม่สามารถทำได้กับรายการเข้าถึง เวลาสำหรับ kludge ใหม่: ลองใช้รายการการเข้าถึงเพิ่มเติมและสมมติว่าที่อยู่ IP ต้นทางในตัวกรองแพ็คเก็ตแสดงที่อยู่เครือข่าย (ที่อยู่คำนำหน้าจริง) และที่อยู่ IP ปลายทางในบรรทัดเดียวกันของตัวกรองแพ็กเก็ตแทนซับเน็ตมาสก์

ไกล: การเข้าถึงรายการ = ตัวกรองแพ็คเก็ต รายการเข้าถึงแบบง่ายยังทำหน้าที่เป็นตัวกรองเส้นทาง (จับคู่เฉพาะที่อยู่เครือข่าย) และรายการเข้าถึงแบบขยายทำหน้าที่เป็นตัวกรองเส้นทางที่ตรงกับที่อยู่และมาสก์เครือข่ายย่อย

โชคดีที่บางคนยังคงมีเหตุผลในเวลานั้นและเริ่มสงสัยว่าความคิดที่ยอดเยี่ยมที่ตัดสินใจใช้ ACL ที่ขยายเพิ่มใหม่สำหรับตัวกรองเส้นทางทำให้รู้สึกได้ถึงการสูบบุหรี่เมื่อพวกเขามีความคิดที่ยอดเยี่ยม

ผลลัพธ์สุดท้าย: Cisco IOS มีรายการคำนำหน้าซึ่งเกือบเหมือนกันในฟังก์ชันการทำงานสำหรับรายการการเข้าถึงเพิ่มเติมที่ทำหน้าที่เป็นตัวกรองเส้นทาง แต่แสดงในรูปแบบที่มนุษย์ทั่วไปมีโอกาสเข้าใจ

วันนี้: ใช้รายการเข้าถึงสำหรับตัวกรองแพ็คเก็ตและรายการคำนำหน้าสำหรับตัวกรองเส้นทาง คุณยังสามารถใช้รายการเข้าถึงเป็นตัวกรองเส้นทาง แต่ไม่ได้ทำมัน

มีเหตุผล?

ไม่มากทั้ง

พวกเขาทั้งสองมีวิธีการกรองที่อยู่เครือข่าย แต่มีความแตกต่างที่สำคัญสองสาม:

• ACL แบบขยายของสามารถกรองตามข้อมูล "เลเยอร์ที่สูงขึ้น" เช่นพอร์ต TCP / UDP รายการคำนำหน้าไม่สามารถ
• ACL แบบขยาย / มาตรฐานสามารถใช้มาสก์ตัวแทนซึ่งอนุญาตให้ใช้ข้อกำหนดของที่อยู่โดยพลการหรือช่วงของที่อยู่ รายการคำนำหน้าไม่สามารถทำได้
• รายการคำนำหน้าสามารถจับคู่กับความยาวคำนำหน้า - ความยาวต่ำสุดหรือสูงสุดด้วยคำหลัก "ge" และ "le" ตามลำดับ

สำหรับนโยบายการกำหนดเส้นทางผู้ใช้มักจะต้องการใช้รายการคำนำหน้าเพราะบางคนรู้สึกว่าพวกเขา "แสดงออก" มากกว่า แต่มีไม่มากที่จะ จำกัด ให้คุณใช้งานอย่างใดอย่างหนึ่ง - เป็นสิ่งที่สถานการณ์ / ความต้องการเรียกร้อง

คำนำหน้ารายการใช้สำหรับการกรองเส้นทางและการกระจายเส้นทางเนื่องจากตรงกับคำนำหน้าทั้งที่ส่งรับหรือแสดงในตารางเส้นทางหรือตาราง BGP พวกเขาจับคู่กับบิตในคำนำหน้า แต่ยังอยู่ในความยาวคำนำหน้า ACLs สามารถใช้สำหรับคุณสมบัติอื่น ๆ อีกมากมายเช่น: การกรองการจราจร, การจับคู่การเข้าชมสำหรับ QoS, การจับคู่การรับส่งข้อมูลสำหรับ NAT, VPN, การกำหนดเส้นทางตามนโยบาย, ฯลฯ นอกจากนี้ยังสามารถใช้สำหรับตัวกรองเส้นทางและการแจกจ่ายซ้ำ เมื่อใช้เพื่อวัตถุประสงค์อื่น

นอกจากสิ่งที่ John Jensen พูดแล้วฉันจะเพิ่ม ACLs ที่ใช้เพื่อความปลอดภัย (เช่นการ จำกัด การเข้าถึงระยะไกล) ในขณะที่ prefix-list ไม่สามารถมีฟังก์ชันนี้ได้ด้วยตนเอง

คำนำหน้ารายการติดกับ L3 ในขณะที่ ACL อาจขึ้นหนึ่งเลเยอร์ขึ้นนำฟังก์ชันการทำงานเพิ่มเติม

สำหรับการเปรียบเทียบภาพดูลิงค์นี้: http://mellowd.co.uk/ccie/?p=447

รายการคำนำหน้าทำงานคล้ายกับรายการเข้าถึงมาก รายการคำนำหน้าประกอบด้วยรายการที่สั่งอย่างน้อยหนึ่งรายการซึ่งประมวลผลตามลำดับ

คำนำหน้ารายการจะใช้เพื่อระบุที่อยู่หรือช่วงของที่อยู่ที่จะอนุญาตหรือปฏิเสธในการปรับปรุงเส้นทาง ...

รายการเข้าถึงใช้สำหรับการกรองการจราจรและรายการคำนำหน้าใช้สำหรับการกรองเส้นทาง