Unterschied zwischen Zugriffsliste und Präfixliste?

Kann jemand mit einem Beispiel erklären, was der Unterschied zwischen einer Zugriffsliste und einer Präfixliste ist.

Hier ist die Geschichte, wie sie entstanden sind (und warum sie so sind, wie sie sind):

• In den Anfängen des Internets wurde nach Paketfiltern (sog. Access Lists) gefragt.
• Cisco implementierte zunächst einfache Zugriffslisten (Filtern nach Zielhostadressen, ergänzt durch Platzhaltermasken), aber sie waren natürlich nicht gut genug, um (zum Beispiel) SMTP zu blockieren, und erstellten erweiterte Zugriffslisten, die nach Quelle und Ziel übereinstimmen können IP-Adressen (mit Platzhalterbits auf beiden - mit diesen Bits können Sie ganze Präfixe abgleichen), Protokolle, Portnummern ...

Also: Zugriffsliste = Paketfilter.

Später (aber noch vor Jahrzehnten) begannen die Leute, mehrere Routing-Protokolle auf derselben Box auszuführen, und wollten Informationen zwischen ihnen umverteilen. Kein Problem, aber Sie möchten nicht ALLE Informationen, die Sie in das andere Routing-Protokoll übertragen haben - Sie benötigen ROUTENFILTER. Wie gewöhnlich sieht bei einem Hammer alles wie ein Nagel aus, und so haben die Ingenieure von Cisco Routenfilter mit dem Objekt implementiert, das sie bereits hatten - Zugriffslisten.

An dieser Stelle: Zugriffsliste = Paketfilter (und manchmal Routenfilter)

Mit dem Aufkommen des klassenlosen Routings (ja, es ist so lange her - erinnert sich noch jemand an die Tage von Adressen der Klasse A, Klasse B und Klasse C) wollten die Leute Präfixe einer bestimmten Größe zwischen Routing-Protokollen umverteilen. Beispiel: Inserieren Sie alle / 24s von OSPF in BGP, aber nicht die / 32s. Unmöglich mit Zugriffslisten zu tun. Zeit für einen neuen Kludge: Verwenden Sie die erweiterte Zugriffsliste und geben Sie vor, dass die Quell-IP-Adresse im Paketfilter die Netzwerkadresse (tatsächlich die Präfixadresse) und die Ziel-IP-Adresse in derselben Zeile des Paketfilters die Subnetzmaske darstellt.

Soweit: Zugriffslisten = Paketfilter. Einfache Zugriffslisten dienen auch als Routenfilter (nur für Netzwerkadressen) und erweiterte Zugriffslisten dienen als Routenfilter für Adressen und Subnetzmasken.

Glücklicherweise behielt zu dieser Zeit jemand einen Hauch von Vernunft bei und fragte sich, was genau die brillanten Köpfe, die beschlossen hatten, erweiterte ACLs für Routenfilter wiederzuverwenden, zu rauchen, als sie diese brillante Idee hatten.

Endergebnis: Cisco IOS hat Präfixlisten, deren Funktionalität (fast) identisch mit denen von erweiterten Zugriffslisten ist, die als Routenfilter fungieren, die jedoch in einem Format angezeigt werden, das ein normaler Mensch möglicherweise versteht.

Heute: Verwenden Sie Zugriffslisten für Paketfilter und Präfixlisten für Routenfilter. Sie können Zugriffslisten weiterhin als Routenfilter verwenden, tun dies jedoch nicht .

Macht Sinn?

Nicht viel.

Beide bieten Möglichkeiten zum Filtern nach Netzwerkadressen, es gibt jedoch einige wesentliche Unterschiede:

• Erweiterte ACLs können basierend auf Informationen "höherer Ebene", dh TCP / UDP-Port, filtern. Präfixlisten können nicht.
• Erweiterte / Standard-ACLs können Platzhaltermasken verwenden, mit denen beliebige Adressen oder Adressbereiche angegeben werden können. Präfixlisten können dies nicht.
• Präfixlisten können mit Präfixlängen übereinstimmen - entweder minimale oder maximale Längen mit den Schlüsselwörtern "ge" und "le".

In Bezug auf die Weiterleitungsrichtlinie bevorzugen die Leute die Verwendung von Präfixlisten, da einige das Gefühl haben, dass sie "aussagekräftiger" sind, Sie sich jedoch nicht darauf beschränken können, die eine oder andere zu verwenden.

Die Präfixliste wird zur Routenfilterung und Routenumverteilung verwendet, da sie mit Präfixen übereinstimmt, die entweder in der Routing-Tabelle oder der BGP-Tabelle gesendet, empfangen oder vorhanden sind. Sie stimmen mit Bits im Präfix überein, aber auch mit der Präfixlänge. ACLs können für viele weitere Funktionen verwendet werden, z. B. für die Filterung des Datenverkehrs, den Abgleich des Datenverkehrs für QoS, den Abgleich des Datenverkehrs für NAT, VPN, richtlinienbasiertes Routing usw. Sie können auch für Routenfilter und die Neuverteilung verwendet werden, aber ihre Syntax unterscheidet sich dann von der von wenn sie für andere Zwecke verwendet werden.

Zusätzlich zu dem, was John Jensen gesagt hat, möchte ich hinzufügen, dass ACLs auch zu Sicherheitszwecken verwendet werden (z. B. zur Einschränkung des Remotezugriffs), während die Präfixliste diese Funktion nicht eigenständig haben kann.

Präfixlisten bleiben bei L3, während ACL eine Ebene höher liegen kann und zusätzliche Funktionen bietet.

Einen visuellen Vergleich finden Sie unter folgendem Link: http://mellowd.co.uk/ccie/?p=447

Präfixlisten funktionieren sehr ähnlich wie Zugriffslisten. Eine Präfixliste enthält einen oder mehrere geordnete Einträge, die nacheinander verarbeitet werden.

Präfixlisten werden verwendet, um eine Adresse oder einen Adressbereich anzugeben, die bzw. der bei Routenaktualisierungen zugelassen oder abgelehnt werden soll.

Die Zugriffsliste dient zur Verkehrsfilterung und die Präfixliste zur Routenfilterung