Birisi bir erişim listesi ve önek listesi arasındaki farkın ne olduğunu bir örnekle açıklayabilir mi?
Birisi bir erişim listesi ve önek listesi arasındaki farkın ne olduğunu bir örnekle açıklayabilir mi?
Yanıtlar:
İşte nasıl ortaya çıktıklarının tarihi (ve neden oldukları gibi):
Yani: erişim listesi = paket filtresi.
Daha sonra (ancak onlarca yıl önce) insanlar aynı kutuda birden fazla yönlendirme protokolü çalıştırmaya başladılar ve aralarındaki bilgileri yeniden dağıtmak istediler. Sorun değil, ama diğer yönlendirme protokolüne yaydığınız TÜM bilgileri istemezsiniz - GÜZERGAH FİLTRELERİ gerekir. Genellikle olduğu gibi, bir çekiçiniz varsa her şey bir çivi gibi görünür ve böylece Cisco mühendisleri zaten sahip oldukları nesne olan erişim listelerini kullanarak rota filtreleri uyguladılar.
Bu noktada: erişim listesi = paket filtresi (ve bazen rota filtresi)
Sınıfsız yönlendirmenin ortaya çıkmasıyla (evet, çok uzun zaman önce - A, B Sınıfı ve C Sınıfı adreslerinin günlerini hala hatırlayanlar), insanlar yönlendirme protokolleri arasında belirli boyuttaki önekleri yeniden dağıtmak istediler. Örneğin: OSPF'den tüm / 24'leri BGP'ye tanıtın, ancak / 32'leri tanıtmayın. Erişim listeleriyle yapmak imkansız. Yeni bir çamur zamanı: genişletilmiş erişim listesini kullanalım ve paket filtresindeki kaynak IP adresinin ağ adresini (aslında önek adresi) ve paket filtresinin aynı satırındaki hedef IP adresinin alt ağ maskesini temsil ettiğini varsayalım.
Şimdiye kadar: erişim listeleri = paket filtreleri. Basit erişim listeleri aynı zamanda rota filtreleri (yalnızca ağ adresleriyle eşleşen) ve genişletilmiş erişim listeleri de adresler ve alt ağ maskeleriyle eşleşen rota filtreleri olarak işlev görür.
Neyse ki birileri o zamanlar bir nedenini korudu ve rota filtreleri için genişletilmiş ACL'leri yeniden kullanmaya karar veren parlak fikirlerin tam olarak ne kadar parlak bir fikir aldıklarında sigara içtiğini merak etmeye başladı.
Sonuç: Cisco IOS, rota filtreleri olarak işlev gören genişletilmiş erişim listelerine (neredeyse) benzer, ancak normal bir insanın anlama şansı olan bir biçimde görüntülenen önek listeleri aldı.
Bugün: paket filtreler için erişim listelerini ve rota filtreler için önek listelerini kullanın. Erişim listelerini yine de rota filtresi olarak kullanabilirsiniz, ancak bunu yapmayın .
Mantıklı?
Çok değil.
Her ikisi de ağ adreslerini filtrelemek için araçlar sağlar, ancak birkaç önemli fark vardır:
Yönlendirme politikası için, insanlar önek listelerini kullanmayı tercih edeceklerdir, çünkü bazıları daha "etkileyici" olduklarını düşünürler, ancak sizi birini veya diğerini kullanmakla sınırlayacak çok şey yoktur - durum / gereksinimlerin gerektirdiği şey olacaktır.
Ön ek listesi, yönlendirme tablosunda veya BGP tablosunda gönderilen, alınan veya mevcut öneklerle eşleştiğinden, rota filtreleme ve rota yeniden dağıtımı için kullanılır. Önekteki bitlerle aynı zamanda önek uzunluğunda da eşleşirler. ACL'ler çok daha fazla özellik için kullanılabilir: trafik filtreleme, QoS için trafiği eşleştirme, NAT, VPN, İlke Tabanlı Yönlendirme için eşleşen trafik vb. başka amaçlarla kullanıldığında.
John Jensen söylediklerine ek olarak, ACL'lerin güvenlik amacıyla da kullanıldığını eklerim (ör. Uzaktan erişimi sınırlamak), önek listesi bu işleve kendi başlarına sahip olamaz.
Önek listeleri L3'e yapışırken, ACL bir katman yukarı çıkabilir ve ek işlevsellik getirir.
Görsel bir karşılaştırma için şu bağlantıya bakın: http://mellowd.co.uk/ccie/?p=447
Önek listeleri erişim listelerine çok benzer şekilde çalışır; önek listesi, sırayla işlenen bir veya daha fazla sıralı giriş içerir.
Önek listeleri, rota güncellemelerinde izin verilecek veya reddedilecek bir adres veya adres aralığı belirtmek için kullanılır ...
Erişim listesi trafik filtreleme içindir ve önek listesi rota filtreleme içindir