¿Diferencia entre la lista de acceso y la lista de prefijos?

¿Alguien puede explicar con un ejemplo cuál es la diferencia entre una lista de acceso y una lista de prefijos?

Aquí está la historia de cómo surgieron (y por qué son como son):

• En los primeros días de Internet, la gente comenzó a pedir filtros de paquetes (también conocidos como listas de acceso).
• Cisco implementó primero las listas de acceso simples (filtrado en direcciones de host de destino, aumentadas por máscaras comodín), pero, por supuesto, no fueron lo suficientemente buenas como para bloquear (por ejemplo) SMTP, por lo que crearon listas de acceso extendidas, que pueden coincidir en origen y destino Direcciones IP (con bits comodín en ambos: estos bits le permiten hacer coincidir prefijos completos), protocolos, números de puerto ...

Entonces: lista de acceso = filtro de paquetes.

Más tarde (pero aún hace décadas) la gente comenzó a ejecutar múltiples protocolos de enrutamiento en el mismo cuadro y quería redistribuir la información entre ellos. No es un problema, pero no querría TODA la información que ha propagado en el otro protocolo de enrutamiento; necesita FILTROS DE RUTA. Como suele ser el caso, todo parece un clavo si tiene un martillo, por lo que los ingenieros de Cisco implementaron filtros de ruta con el objeto que ya tenían: listas de acceso.

En este punto: lista de acceso = filtro de paquetes (y a veces filtro de ruta)

Con el advenimiento del enrutamiento sin clase (sí, hace mucho tiempo, ¿alguien recuerda los días de las direcciones de Clase A, Clase B y Clase C), las personas querían redistribuir prefijos de cierto tamaño entre los protocolos de enrutamiento. Por ejemplo: anuncie todos los / 24s de OSPF a BGP, pero no los / 32s. Imposible hacer con listas de acceso. Tiempo para un nuevo kludge: usemos la lista de acceso extendida y pretendamos que la dirección IP de origen en el filtro de paquetes representa la dirección de red (en realidad, la dirección del prefijo) y la dirección IP de destino en la misma línea del filtro de paquetes representa la máscara de subred.

Hasta aquí: listas de acceso = filtros de paquetes. Las listas de acceso simples también sirven como filtros de ruta (que coinciden solo en direcciones de red) y las listas de acceso extendido sirven como filtros de ruta que coinciden con direcciones y máscaras de subred.

Afortunadamente, alguien retuvo una pizca de razón en ese momento y comenzó a preguntarse qué exactamente las mentes brillantes que decidieron reutilizar ACL extendidas para los filtros de ruta tienen sentido al fumar cuando tuvieron esa brillante idea.

Resultado final: Cisco IOS obtuvo listas de prefijos, que son (casi) idénticas en funcionalidad a las listas de acceso extendido que actúan como filtros de ruta, pero se muestran en un formato que un ser humano normal tiene la posibilidad de comprender.

Hoy: use listas de acceso para filtros de paquetes y listas de prefijos para filtros de ruta. Todavía puede usar listas de acceso como filtros de ruta, pero no lo haga .

¿Tiene sentido?

No mucho.

Ambos proporcionan medios para filtrar en direcciones de red, pero hay un par de diferencias clave:

• Las ACL extendidas pueden filtrar según la información de "capa superior", es decir, el puerto TCP / UDP. Las listas de prefijos no pueden.
• Las ACL extendidas / estándar pueden usar máscaras comodín que permiten la especificación de direcciones arbitrarias o rangos de direcciones. Las listas de prefijos no pueden hacer esto.
• Las listas de prefijos pueden coincidir en las longitudes de los prefijos: longitudes mínimas o máximas con las palabras clave "ge" y "le", respectivamente.

Para la política de enrutamiento, la gente tenderá a preferir usar listas de prefijos porque algunos sienten que son más "expresivos", pero no hay mucho que lo limite a usar uno u otro; será lo que requiera la situación / requisitos.

La lista de prefijos se utiliza para el filtrado de rutas y la redistribución de rutas porque coincide con los prefijos enviados, recibidos o presentes en la tabla de enrutamiento o la tabla BGP. Coinciden en bits en el prefijo pero también en la longitud del prefijo. Las ACL se pueden usar para muchas más funciones como: filtrado de tráfico, tráfico coincidente para QoS, tráfico coincidente para NAT, VPN, enrutamiento basado en políticas, etc. También se pueden usar para filtros de ruta y redistribución, pero su sintaxis es diferente de cuando se usan para otros fines.

Además de lo que dijo John Jensen, agregaría que las ACL también se usan con fines de seguridad (por ejemplo, limitar el acceso remoto), mientras que la lista de prefijos no puede tener esta función por sí misma.

Las listas de prefijos se adhieren a L3, mientras que ACL puede ir una capa hacia arriba, brindando funcionalidad adicional.

Para una comparación visual, vea este enlace: http://mellowd.co.uk/ccie/?p=447

Las listas de prefijos funcionan de manera muy similar a las listas de acceso; una lista de prefijos contiene una o más entradas ordenadas que se procesan secuencialmente.

Las listas de prefijos se utilizan para especificar una dirección o rango de direcciones para permitir o denegar en las actualizaciones de ruta ...

La lista de acceso es para el filtrado de tráfico y la lista de prefijos es para el filtrado de ruta