Diferença entre lista de acesso e lista de prefixos?


21

Alguém pode explicar com um exemplo qual é a diferença entre uma lista de acesso e lista de prefixos.

Respostas:


25

Aqui está a história de como eles surgiram (e por que eles são do jeito que são):

  • Nos primórdios da Internet, as pessoas começaram a pedir filtros de pacotes (também conhecidas como listas de acesso).
  • A Cisco implementou primeiro listas de acesso simples (filtragem nos endereços de host de destino, aumentadas por máscaras curinga), mas é claro que elas não eram boas o suficiente para bloquear (por exemplo) o SMTP, por isso criaram listas de acesso estendidas, que podem corresponder à origem e ao destino Endereços IP (com bits curingas em ambos - esses bits permitem combinar prefixos inteiros), protocolos, números de portas ...

Então: lista de acesso = filtro de pacotes.

Mais tarde (mas ainda décadas atrás), as pessoas começaram a executar vários protocolos de roteamento na mesma caixa e queriam redistribuir informações entre eles. Não é um problema, mas você não deseja TODAS as informações que você propagou para o outro protocolo de roteamento - você precisa de ROUTE FILTERS. Como geralmente é o caso, tudo parece um prego se você tiver um martelo, e assim os engenheiros da Cisco implementaram filtros de rota com o objeto que eles já tinham - listas de acesso.

Neste ponto: lista de acesso = filtro de pacotes (e às vezes filtro de rotas)

Com o advento do roteamento sem classe (sim, faz muito tempo - alguém ainda se lembra dos dias dos endereços de classe A, classe B e classe C), as pessoas queriam redistribuir prefixos de certo tamanho entre os protocolos de roteamento. Por exemplo: anuncie todos os / 24s do OSPF no BGP, mas não os / 32s. Impossível fazer com listas de acesso. Hora de um novo kludge: vamos usar a lista de acesso estendida e vamos fingir que o endereço IP de origem no filtro de pacotes representa o endereço de rede (na verdade, endereço de prefixo) e o endereço IP de destino na mesma linha do filtro de pacotes representa a máscara de sub-rede.

Até aqui: listas de acesso = filtros de pacotes. Listas de acesso simples também servem como filtros de rota (correspondendo apenas a endereços de rede) e listas de acesso estendidas servem como filtros de rota que correspondem a endereços e máscaras de sub-rede.

Felizmente, alguém manteve um pouco de razão naquele momento e começou a se perguntar o que exatamente as mentes brilhantes que decidiram reutilizar ACLs estendidas para filtros de rotas faz sentido quando fumavam quando tiveram essa ideia brilhante.

Resultado final: o Cisco IOS possui listas de prefixos, que são (quase) idênticas em funcionalidade às listas de acesso estendidas que atuam como filtros de rota, mas exibidas em um formato que um ser humano comum tem chance de entender.

Hoje: use listas de acesso para filtros de pacotes e listas de prefixos para filtros de rotas. Você ainda pode usar as listas de acesso como filtros de rota, mas não o faz .

Faz sentido?


"Por exemplo: anuncie todos os / 24s do OSPF no BGP, mas não os / 32s. Impossível fazer com listas de acesso" - não é impossível, mas tedioso
MiniMe

Impossível fazer com as listas de acesso padrão se você realmente deseja corresponder à máscara de sub-rede. Sim, você poderia fingir que correspondente no campo de host zero é o mesmo;)
ioshints

10

Não um lote inteiro.

Ambos fornecem meios para filtrar endereços de rede, mas existem algumas diferenças principais:

  • As ACLs estendidas podem filtrar com base em informações de "camada superior", ou seja, porta TCP / UDP. As listas de prefixos não podem.
  • As ACLs estendidas / padrão podem usar máscaras curinga que permitem a especificação de endereços arbitrários ou intervalos de endereços. As listas de prefixos não podem fazer isso.
  • As listas de prefixos podem corresponder em comprimentos de prefixo - comprimentos mínimo ou máximo com as palavras-chave "ge" e "le", respectivamente.

Para a política de roteamento, as pessoas tendem a preferir usar listas de prefixos, porque alguns acham que são mais "expressivos", mas não há muito o que limitar o uso de um ou de outro - será o que a situação / requisitos exigem.


2
As listas de prefixos são frequentemente encontradas com a filtragem de entrada e saída do BGP, como negar qualquer prefixo recebido que seja ge / 24 ou criar uma lista de prefixos AS locais que serão anunciados (para não anunciar mais do que deveria e tornar-se um trânsito) )
generalnetworkerror

6

A lista de prefixos é usada para filtragem de rotas e redistribuição de rotas porque corresponde a prefixos enviados, recebidos ou presentes na tabela de roteamento ou na tabela BGP. Eles correspondem aos bits no prefixo, mas também no comprimento do prefixo. As ACLs podem ser usadas para muito mais recursos, como: filtragem de tráfego, tráfego correspondente para QoS, tráfego correspondente para NAT, VPN, roteamento baseado em políticas, etc. Eles também podem ser usados ​​para filtros e redistribuição de rotas, mas suas sintaxes são diferentes de quando são utilizados para outros fins.


2

Além do que John Jensen disse, eu acrescentaria que as ACLs também são usadas para fins de segurança (por exemplo, limitar o acesso remoto), enquanto a lista de prefixos não pode ter essa função por conta própria.

As listas de prefixos seguem o L3, enquanto a ACL pode subir uma camada, trazendo funcionalidade adicional.

Para uma comparação visual, consulte este link: http://mellowd.co.uk/ccie/?p=447


0

As listas de prefixos funcionam de maneira muito semelhante às listas de acesso; uma lista de prefixos contém uma ou mais entradas ordenadas que são processadas sequencialmente.


Olá e obrigado pela sua resposta. Você pretendia adicionar duas respostas diferentes? Enquanto o Stack Exchange não se importa com duas respostas diferentes para a mesma pergunta, a maioria das pessoas responde apenas com uma. Se você realmente pretendia que isso fosse uma edição da sua resposta original, copie este texto e edite-o na sua outra resposta . Em seguida, exclua esta resposta.
Mike Pennington

-2

As listas de prefixos são usadas para especificar um endereço ou intervalo de endereços a serem permitidos ou negados nas atualizações de rota ...


-3

A lista de acesso é para filtragem de tráfego e a lista de prefixos é para filtragem de rotas

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.