¿Alguien puede explicar con un ejemplo cuál es la diferencia entre una lista de acceso y una lista de prefijos?
¿Alguien puede explicar con un ejemplo cuál es la diferencia entre una lista de acceso y una lista de prefijos?
Respuestas:
Aquí está la historia de cómo surgieron (y por qué son como son):
Entonces: lista de acceso = filtro de paquetes.
Más tarde (pero aún hace décadas) la gente comenzó a ejecutar múltiples protocolos de enrutamiento en el mismo cuadro y quería redistribuir la información entre ellos. No es un problema, pero no querría TODA la información que ha propagado en el otro protocolo de enrutamiento; necesita FILTROS DE RUTA. Como suele ser el caso, todo parece un clavo si tiene un martillo, por lo que los ingenieros de Cisco implementaron filtros de ruta con el objeto que ya tenían: listas de acceso.
En este punto: lista de acceso = filtro de paquetes (y a veces filtro de ruta)
Con el advenimiento del enrutamiento sin clase (sí, hace mucho tiempo, ¿alguien recuerda los días de las direcciones de Clase A, Clase B y Clase C), las personas querían redistribuir prefijos de cierto tamaño entre los protocolos de enrutamiento. Por ejemplo: anuncie todos los / 24s de OSPF a BGP, pero no los / 32s. Imposible hacer con listas de acceso. Tiempo para un nuevo kludge: usemos la lista de acceso extendida y pretendamos que la dirección IP de origen en el filtro de paquetes representa la dirección de red (en realidad, la dirección del prefijo) y la dirección IP de destino en la misma línea del filtro de paquetes representa la máscara de subred.
Hasta aquí: listas de acceso = filtros de paquetes. Las listas de acceso simples también sirven como filtros de ruta (que coinciden solo en direcciones de red) y las listas de acceso extendido sirven como filtros de ruta que coinciden con direcciones y máscaras de subred.
Afortunadamente, alguien retuvo una pizca de razón en ese momento y comenzó a preguntarse qué exactamente las mentes brillantes que decidieron reutilizar ACL extendidas para los filtros de ruta tienen sentido al fumar cuando tuvieron esa brillante idea.
Resultado final: Cisco IOS obtuvo listas de prefijos, que son (casi) idénticas en funcionalidad a las listas de acceso extendido que actúan como filtros de ruta, pero se muestran en un formato que un ser humano normal tiene la posibilidad de comprender.
Hoy: use listas de acceso para filtros de paquetes y listas de prefijos para filtros de ruta. Todavía puede usar listas de acceso como filtros de ruta, pero no lo haga .
¿Tiene sentido?
No mucho.
Ambos proporcionan medios para filtrar en direcciones de red, pero hay un par de diferencias clave:
Para la política de enrutamiento, la gente tenderá a preferir usar listas de prefijos porque algunos sienten que son más "expresivos", pero no hay mucho que lo limite a usar uno u otro; será lo que requiera la situación / requisitos.
La lista de prefijos se utiliza para el filtrado de rutas y la redistribución de rutas porque coincide con los prefijos enviados, recibidos o presentes en la tabla de enrutamiento o la tabla BGP. Coinciden en bits en el prefijo pero también en la longitud del prefijo. Las ACL se pueden usar para muchas más funciones como: filtrado de tráfico, tráfico coincidente para QoS, tráfico coincidente para NAT, VPN, enrutamiento basado en políticas, etc. También se pueden usar para filtros de ruta y redistribución, pero su sintaxis es diferente de cuando se usan para otros fines.
Además de lo que dijo John Jensen, agregaría que las ACL también se usan con fines de seguridad (por ejemplo, limitar el acceso remoto), mientras que la lista de prefijos no puede tener esta función por sí misma.
Las listas de prefijos se adhieren a L3, mientras que ACL puede ir una capa hacia arriba, brindando funcionalidad adicional.
Para una comparación visual, vea este enlace: http://mellowd.co.uk/ccie/?p=447
Las listas de prefijos funcionan de manera muy similar a las listas de acceso; una lista de prefijos contiene una o más entradas ordenadas que se procesan secuencialmente.
Las listas de prefijos se utilizan para especificar una dirección o rango de direcciones para permitir o denegar en las actualizaciones de ruta ...
La lista de acceso es para el filtrado de tráfico y la lista de prefijos es para el filtrado de ruta