Perbedaan antara daftar akses dan daftar awalan?


21

Dapatkah seseorang menjelaskan dengan contoh apa perbedaan antara daftar akses dan daftar awalan.

Jawaban:


25

Inilah sejarah bagaimana mereka muncul (dan mengapa mereka seperti itu):

  • Pada hari-hari awal Internet, orang-orang mulai meminta filter paket (alias daftar akses).
  • Cisco menerapkan daftar akses sederhana terlebih dahulu (memfilter pada alamat host tujuan, ditambah oleh wildcard mask), tetapi tentu saja mereka tidak cukup baik untuk memblokir (misalnya) SMTP, sehingga mereka membuat daftar akses yang diperluas, yang dapat cocok dengan sumber dan tujuan Alamat IP (dengan bit wildcard pada keduanya - bit ini memungkinkan Anda untuk mencocokkan seluruh awalan), protokol, nomor port ...

Jadi: daftar akses = filter paket.

Kemudian (tetapi masih beberapa dekade yang lalu) orang-orang mulai menjalankan beberapa protokol routing pada kotak yang sama dan ingin mendistribusikan kembali informasi di antara mereka. Bukan masalah, tetapi Anda tidak ingin SEMUA informasi yang telah Anda sebarkan ke protokol perutean lainnya - Anda perlu ROUTE FILTER. Seperti biasanya, semuanya terlihat seperti paku jika Anda memiliki palu, dan karenanya insinyur Cisco menerapkan filter rute dengan objek yang sudah mereka miliki - daftar akses.

Pada titik ini: daftar akses = filter paket (dan kadang-kadang filter rute)

Dengan munculnya routing tanpa kelas (ya, sudah lama sekali - apakah ada yang masih ingat hari-hari alamat Kelas A, Kelas B dan Kelas C), orang ingin mendistribusikan kembali awalan dengan ukuran tertentu di antara protokol routing. Misalnya: mengiklankan semua / 24 dari OSPF ke BGP, tetapi bukan / 32s. Tidak mungkin dilakukan dengan daftar akses. Waktu untuk kludge baru: mari kita gunakan daftar akses diperpanjang dan mari kita berpura-pura alamat IP sumber dalam filter paket mewakili alamat jaringan (sebenarnya alamat awalan) dan alamat IP tujuan di baris yang sama dari filter paket mewakili subnet mask.

Sejauh ini: daftar akses = filter paket. Daftar akses sederhana juga berfungsi sebagai filter rute (hanya cocok pada alamat jaringan) dan daftar akses diperpanjang berfungsi sebagai filter rute yang cocok dengan alamat dan topeng subnet.

Untungnya seseorang mempertahankan sedikit alasan pada saat itu dan mulai bertanya-tanya apa sebenarnya pikiran brilian yang memutuskan menggunakan kembali ACL untuk filter rute masuk akal sedang merokok ketika mereka mendapat ide cemerlang itu.

Hasil akhir: Cisco IOS mendapatkan daftar awalan, yang fungsinya (hampir) identik dengan daftar akses diperpanjang yang bertindak sebagai filter rute, tetapi ditampilkan dalam format yang manusia biasa memiliki peluang untuk memahami.

Hari ini: gunakan daftar akses untuk filter paket dan daftar awalan untuk filter rute. Anda masih dapat menggunakan daftar akses sebagai filter rute tetapi jangan lakukan itu .

Masuk akal?


"Misalnya: iklankan semua / 24s dari OSPF ke BGP, tetapi bukan / 32s. Tidak mungkin dilakukan dengan daftar akses" -tidak mustahil tapi membosankan
MiniMe

Tidak mungkin dilakukan dengan daftar akses standar jika Anda benar-benar ingin cocok dengan subnet mask. Ya, Anda bisa berpura-pura bahwa pencocokan pada bidang inang nol adalah sama;)
ioshints

10

Tidak banyak.

Keduanya menyediakan sarana untuk memfilter pada alamat jaringan, tetapi ada beberapa perbedaan utama:

  • ACL yang diperluas dapat memfilter berdasarkan informasi "lapisan yang lebih tinggi", yaitu port TCP / UDP. Daftar awalan tidak bisa.
  • Extended / Standard ACL dapat menggunakan masker wildcard yang memungkinkan untuk spesifikasi alamat yang sewenang-wenang atau rentang alamat. Daftar awalan tidak dapat melakukan ini.
  • Daftar awalan dapat cocok dengan panjang awalan - panjang minimum atau maksimum dengan kata kunci "ge" dan "le".

Untuk kebijakan perutean, orang akan cenderung lebih suka menggunakan daftar awalan karena beberapa merasa bahwa mereka lebih "ekspresif" tetapi tidak ada banyak yang membatasi Anda untuk menggunakan satu atau yang lain - itu akan menjadi apa situasi / persyaratan panggilan.


2
Daftar awalan sering ditemukan dengan penyaringan BGP masuk dan keluar seperti menolak setiap awalan yang diterima yang ge / 24 atau membuat daftar awalan AS lokal yang akan diiklankan (agar tidak beriklan lebih dari yang seharusnya dan menjadi transit) ).
generalnetworkerror

6

Daftar awalan digunakan untuk penyaringan rute dan redistribusi rute karena cocok dengan awalan yang dikirim, diterima atau ada dalam tabel routing atau tabel BGP. Mereka cocok pada bit dalam awalan tetapi juga pada panjang awalan. ACL dapat digunakan untuk lebih banyak fitur seperti: pemfilteran lalu lintas, pencocokan lalu lintas untuk QoS, pencocokan lalu lintas untuk NAT, VPN, Perutean Berbasis Kebijakan, dll. Mereka juga dapat digunakan untuk filter rute dan redistribusi tetapi sintaksisnya kemudian berbeda dari ketika mereka digunakan untuk tujuan lain.


2

Selain apa yang dikatakan John Jensen, saya akan menambahkan bahwa ACL juga digunakan untuk tujuan keamanan (misalnya membatasi akses jarak jauh) sementara daftar awalan tidak dapat memiliki fungsi ini sendiri.

Daftar awalan menempel pada L3, sementara ACL mungkin naik satu lapis, membawa fungsionalitas tambahan.

Untuk perbandingan visual, lihat tautan ini: http://mellowd.co.uk/ccie/?p=447


0

Daftar awalan bekerja sangat mirip dengan daftar akses; daftar awalan berisi satu atau lebih entri yang diurutkan yang diproses secara berurutan.


Hai dan terima kasih atas jawaban Anda. Apakah Anda bermaksud menambahkan dua jawaban berbeda? Meskipun Stack Exchange tidak keberatan dengan dua jawaban berbeda untuk pertanyaan yang sama, kebanyakan orang hanya menjawab dengan satu. Jika Anda benar-benar ingin ini menjadi edit untuk jawaban asli Anda, harap salin teks ini dan edit ke jawaban Anda yang lain . Kemudian hapus jawaban ini.
Mike Pennington

-2

Daftar awalan digunakan untuk menentukan alamat atau rentang alamat yang akan diizinkan atau ditolak dalam pembaruan rute ...


-3

Daftar akses untuk penyaringan lalu lintas & daftar awalan untuk penyaringan rute

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.