Différence entre liste d'accès et liste de préfixes?

Quelqu'un peut-il expliquer avec un exemple quelle est la différence entre une liste d'accès et une liste de préfixes.

Voici l'histoire de leur création (et pourquoi ils sont tels qu'ils sont):

• Au tout début d'Internet, les gens ont commencé à demander des filtres de paquets (aussi appelés listes d'accès).
• Cisco a d'abord mis en œuvre des listes d'accès simples (filtrage des adresses d'hôte de destination, augmentées par des masques génériques), mais bien sûr, elles n'étaient pas assez bonnes pour bloquer (par exemple) SMTP, elles ont donc créé des listes d'accès étendues, qui peuvent correspondre à la source et à la destination Adresses IP (avec des caractères génériques sur les deux - ces bits vous permettent de faire correspondre des préfixes entiers), protocoles, numéros de port ...

Donc: liste d'accès = filtre de paquets.

Plus tard (mais il y a encore des décennies), les gens ont commencé à exécuter plusieurs protocoles de routage sur la même boîte et ont voulu redistribuer les informations entre eux. Ce n'est pas un problème, mais vous ne voudriez pas que TOUTES les informations que vous avez propagées dans l'autre protocole de routage - vous avez besoin de FILTRES DE ROUTE. Comme c'est généralement le cas, tout ressemble à un clou si vous avez un marteau, et donc les ingénieurs de Cisco ont implémenté des filtres de route avec l'objet qu'ils avaient déjà - des listes d'accès.

À ce stade: liste d'accès = filtre de paquets (et parfois filtre de routage)

Avec l'avènement du routage sans classe (oui, c'est il y a si longtemps - quelqu'un se souvient-il encore de l'époque des adresses de classe A, de classe B et de classe C), les gens voulaient redistribuer des préfixes d'une certaine taille entre les protocoles de routage. Par exemple: annoncez tous les / 24 de OSPF dans BGP, mais pas les / 32. Impossible de faire avec les listes d'accès. Temps pour un nouveau kludge: utilisons la liste d'accès étendue et faisons comme si l'adresse IP source dans le filtre de paquets représente l'adresse réseau (en fait l'adresse de préfixe) et l'adresse IP de destination dans la même ligne du filtre de paquets représente le masque de sous-réseau.

Jusqu'ici: listes d'accès = filtres de paquets. Les listes d'accès simples servent également de filtres de routage (correspondant uniquement aux adresses réseau) et les listes d'accès étendues servent de filtres de routage correspondant aux adresses et aux masques de sous-réseau.

Heureusement, quelqu'un a gardé un brin de raison à ce moment-là et a commencé à se demander ce que les esprits brillants qui ont décidé de réutiliser les listes de contrôle d'accès étendues pour les filtres de route avaient du sens de fumer lorsqu'ils ont eu cette brillante idée.

Résultat final: Cisco IOS a obtenu des listes de préfixes, qui sont (presque) identiques en termes de fonctionnalités aux listes d'accès étendues agissant comme des filtres de route, mais affichées dans un format qu'un être humain ordinaire a une chance de comprendre.

Aujourd'hui: utilisez des listes d'accès pour les filtres de paquets et des listes de préfixes pour les filtres de route. Vous pouvez toujours utiliser des listes d'accès comme filtres d'itinéraire, mais ne le faites pas .

Logique?

Pas beaucoup.

Ils fournissent tous deux des moyens de filtrer les adresses réseau, mais il existe quelques différences clés:

• Les listes de contrôle d'accès étendues peuvent filtrer en fonction des informations de "couche supérieure", c'est-à-dire du port TCP / UDP. Les listes de préfixes ne le peuvent pas.
• Les listes de contrôle d'accès étendues / standard peuvent utiliser des masques génériques qui permettent de spécifier des adresses ou des plages d'adresses arbitraires. Les listes de préfixes ne peuvent pas faire cela.
• Les listes de préfixes peuvent correspondre à des longueurs de préfixe - des longueurs minimum ou maximum avec les mots clés "ge" et "le", respectivement.

Pour la politique de routage, les gens auront tendance à préférer utiliser des listes de préfixes parce que certains estiment qu'ils sont plus "expressifs" mais il n'y a pas grand-chose pour vous limiter à utiliser l'un ou l'autre - ce sera ce que la situation / les exigences exigeront.

La liste des préfixes est utilisée pour le filtrage des itinéraires et la redistribution des itinéraires car elle correspond aux préfixes envoyés, reçus ou présents dans la table de routage ou la table BGP. Ils correspondent sur les bits du préfixe mais aussi sur la longueur du préfixe. Les ACL peuvent être utilisées pour beaucoup plus de fonctionnalités telles que: filtrage du trafic, correspondance du trafic pour QoS, correspondance du trafic pour NAT, VPN, routage basé sur des politiques, etc. Elles peuvent également être utilisées pour les filtres de route et la redistribution, mais leur syntaxe est alors différente de celle lorsqu'ils sont utilisés à d'autres fins.

En plus de ce que John Jensen a dit, j'ajouterais que les ACL sont également utilisées à des fins de sécurité (par exemple, limiter l'accès à distance) alors que prefix-list ne peut pas avoir cette fonction par elle-même.

Les listes de préfixes se limitent à L3, tandis que ACL peut monter d'une couche, apportant des fonctionnalités supplémentaires.

Pour une comparaison visuelle, voir ce lien: http://mellowd.co.uk/ccie/?p=447

Les listes de préfixes fonctionnent de manière très similaire pour accéder aux listes; une liste de préfixes contient une ou plusieurs entrées ordonnées qui sont traitées séquentiellement.

Les listes de préfixes sont utilisées pour spécifier une adresse ou une plage d'adresses à autoriser ou refuser dans les mises à jour de l'itinéraire ...

La liste d'accès est pour le filtrage du trafic et la liste des préfixes est pour le filtrage des routes