Erişim listesi ve önek listesi arasındaki fark nedir?


21

Birisi bir erişim listesi ve önek listesi arasındaki farkın ne olduğunu bir örnekle açıklayabilir mi?

Yanıtlar:


25

İşte nasıl ortaya çıktıklarının tarihi (ve neden oldukları gibi):

  • İnternetin ilk günlerinde, insanlar paket filtreleri (erişim listeleri olarak da bilinir) istemeye başladı.
  • Cisco önce basit erişim listeleri uyguladı (joker maskeler tarafından artırılan hedef ana bilgisayar adreslerine filtre uygulamak), ancak elbette SMTP'yi engelleyecek kadar iyi değildi (örneğin), kaynak ve hedefle eşleşebilecek genişletilmiş erişim listeleri oluşturdular IP adresleri (her ikisinde joker karakter bitleriyle - bu bitler tüm önekleri eşleştirmenize izin verir), protokoller, bağlantı noktası numaraları ...

Yani: erişim listesi = paket filtresi.

Daha sonra (ancak onlarca yıl önce) insanlar aynı kutuda birden fazla yönlendirme protokolü çalıştırmaya başladılar ve aralarındaki bilgileri yeniden dağıtmak istediler. Sorun değil, ama diğer yönlendirme protokolüne yaydığınız TÜM bilgileri istemezsiniz - GÜZERGAH FİLTRELERİ gerekir. Genellikle olduğu gibi, bir çekiçiniz varsa her şey bir çivi gibi görünür ve böylece Cisco mühendisleri zaten sahip oldukları nesne olan erişim listelerini kullanarak rota filtreleri uyguladılar.

Bu noktada: erişim listesi = paket filtresi (ve bazen rota filtresi)

Sınıfsız yönlendirmenin ortaya çıkmasıyla (evet, çok uzun zaman önce - A, B Sınıfı ve C Sınıfı adreslerinin günlerini hala hatırlayanlar), insanlar yönlendirme protokolleri arasında belirli boyuttaki önekleri yeniden dağıtmak istediler. Örneğin: OSPF'den tüm / 24'leri BGP'ye tanıtın, ancak / 32'leri tanıtmayın. Erişim listeleriyle yapmak imkansız. Yeni bir çamur zamanı: genişletilmiş erişim listesini kullanalım ve paket filtresindeki kaynak IP adresinin ağ adresini (aslında önek adresi) ve paket filtresinin aynı satırındaki hedef IP adresinin alt ağ maskesini temsil ettiğini varsayalım.

Şimdiye kadar: erişim listeleri = paket filtreleri. Basit erişim listeleri aynı zamanda rota filtreleri (yalnızca ağ adresleriyle eşleşen) ve genişletilmiş erişim listeleri de adresler ve alt ağ maskeleriyle eşleşen rota filtreleri olarak işlev görür.

Neyse ki birileri o zamanlar bir nedenini korudu ve rota filtreleri için genişletilmiş ACL'leri yeniden kullanmaya karar veren parlak fikirlerin tam olarak ne kadar parlak bir fikir aldıklarında sigara içtiğini merak etmeye başladı.

Sonuç: Cisco IOS, rota filtreleri olarak işlev gören genişletilmiş erişim listelerine (neredeyse) benzer, ancak normal bir insanın anlama şansı olan bir biçimde görüntülenen önek listeleri aldı.

Bugün: paket filtreler için erişim listelerini ve rota filtreler için önek listelerini kullanın. Erişim listelerini yine de rota filtresi olarak kullanabilirsiniz, ancak bunu yapmayın .

Mantıklı?


"Örneğin: tüm / 24'leri OSPF'den BGP'ye tanıtın, ancak / 32'lere tanıtmayın. Erişim listeleriyle yapmak imkansız" -Makinesi mümkün değil ama sıkıcı değil
MiniMe

Alt ağ maskesinde gerçekten eşleşmek istiyorsanız standart erişim listeleriyle yapmak imkansızdır. Evet, sıfır ana bilgisayar alanında
eşleşmenin

10

Çok değil.

Her ikisi de ağ adreslerini filtrelemek için araçlar sağlar, ancak birkaç önemli fark vardır:

  • Genişletilmiş ACL'ler, "daha yüksek katman" bilgilerine (TCP / UDP bağlantı noktası) dayalı olarak filtre uygulayabilir. Önek listeleri olamaz.
  • Genişletilmiş / Standart ACL'ler, rastgele adreslerin veya adres aralıklarının belirlenmesine izin veren joker karakter maskeleri kullanabilir. Ön ek listeleri bunu yapamaz.
  • Ön ek listeleri ön ek uzunluklarıyla eşleşebilir - sırasıyla "ge" ve "le" anahtar sözcükleriyle minimum veya maksimum uzunluklar.

Yönlendirme politikası için, insanlar önek listelerini kullanmayı tercih edeceklerdir, çünkü bazıları daha "etkileyici" olduklarını düşünürler, ancak sizi birini veya diğerini kullanmakla sınırlayacak çok şey yoktur - durum / gereksinimlerin gerektirdiği şey olacaktır.


2
Önek listeleri genellikle ge / 24 olan alınan herhangi bir önekleri reddetmek veya reklamı yapılacak yerel AS öneklerinin bir listesini oluşturmak (gerekenden daha fazla reklam vermemek ve bir transit olmak için) gibi BGP gelen ve giden filtrelemede bulunur. ).
generalnetworkerror

6

Ön ek listesi, yönlendirme tablosunda veya BGP tablosunda gönderilen, alınan veya mevcut öneklerle eşleştiğinden, rota filtreleme ve rota yeniden dağıtımı için kullanılır. Önekteki bitlerle aynı zamanda önek uzunluğunda da eşleşirler. ACL'ler çok daha fazla özellik için kullanılabilir: trafik filtreleme, QoS için trafiği eşleştirme, NAT, VPN, İlke Tabanlı Yönlendirme için eşleşen trafik vb. başka amaçlarla kullanıldığında.


2

John Jensen söylediklerine ek olarak, ACL'lerin güvenlik amacıyla da kullanıldığını eklerim (ör. Uzaktan erişimi sınırlamak), önek listesi bu işleve kendi başlarına sahip olamaz.

Önek listeleri L3'e yapışırken, ACL bir katman yukarı çıkabilir ve ek işlevsellik getirir.

Görsel bir karşılaştırma için şu bağlantıya bakın: http://mellowd.co.uk/ccie/?p=447


0

Önek listeleri erişim listelerine çok benzer şekilde çalışır; önek listesi, sırayla işlenen bir veya daha fazla sıralı giriş içerir.


Merhaba ve cevabınız için teşekkür ederim. İki farklı cevap eklemek istediniz mi? Stack Exchange aynı soruya iki farklı yanıtı düşünmese de, çoğu insan sadece bir soru ile cevap verir. Bunun gerçekten orijinal cevabınızda bir düzenleme olmasını istiyorsanız, lütfen bu metni kopyalayın ve diğer cevabınızda düzenleyin . Ardından bu yanıtı silin.
Mike Pennington

-2

Önek listeleri, rota güncellemelerinde izin verilecek veya reddedilecek bir adres veya adres aralığı belirtmek için kullanılır ...


-3

Erişim listesi trafik filtreleme içindir ve önek listesi rota filtreleme içindir

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.