アクセスリストとプレフィックスリストの違いは?


回答:


25

ここに、彼らがどのように生まれたかの歴史があります(そして、彼らがそうである理由):

  • インターネットのごく初期に、人々はパケットフィルター(別名アクセスリスト)を求め始めました。
  • シスコは最初に単純なアクセスリストを実装しました(宛先ホストアドレスでフィルタリングし、ワイルドカードマスクで補強しました)が、もちろん(たとえば)SMTPをブロックするには十分ではなかったため、送信元と宛先で一致する拡張アクセスリストを作成しましたIPアドレス(両方にワイルドカードビットがあり、これらのビットを使用すると、プレフィックス全体を一致させることができます)、プロトコル、ポート番号...

だから:アクセスリスト=パケットフィルター。

その後(しかし、まだ数十年前)、人々は同じボックスで複数のルーティングプロトコルを実行し始め、それらの間で情報を再配布したいと考えていました。問題ありませんが、他のルーティングプロトコルに伝達したすべての情報が必要なわけではありません。ルートフィルターが必要です。通常、ハンマーを持っている場合、すべてが釘のように見えるため、Ciscoのエンジニアは、すでに持っているオブジェクト(アクセスリスト)でルートフィルタを実装しました。

この時点で:アクセスリスト=パケットフィルター(およびルートフィルター)

クラスレスルーティングの出現により(そう、それは昔です-誰でもクラスA、クラスB、およびクラスCアドレスの時代を覚えていますか)、人々はルーティングプロトコル間で特定のサイズのプレフィックスを再配布したいと考えました。たとえば、OSPFから/ 24をすべてBGPにアドバタイズしますが、/ 32をアドバタイズしません。アクセスリストを処理することはできません。新しいクラッジの時間:拡張アクセスリストを使用して、パケットフィルターの送信元IPアドレスがネットワークアドレス(実際にはプレフィックスアドレス)を表し、パケットフィルターの同じ行の宛先IPアドレスがサブネットマスクを表すとしましょう。

ここまで:アクセスリスト=パケットフィルター。シンプルアクセスリストはルートフィルタとしても機能し(ネットワークアドレスでのみ一致)、拡張アクセスリストはアドレスおよびサブネットマスクと一致するルートフィルタとして機能します。

幸いなことに、その時点で誰かが理由を細かく保持し、ルートフィルターに拡張ACLを再利用することを決定した優秀な頭脳が、その素晴らしいアイデアを得たときに喫煙であると考えるのは何だろうと思い始めました。

最終結果:Cisco IOSはプレフィックスリストを取得しました。これは、ルートフィルターとして機能する拡張アクセスリストと機能が(ほぼ)同じですが、通常の人間が理解できる形式で表示されます。

今日:パケットフィルタにはアクセスリストを、ルートフィルタにはプレフィックスリストを使用します。アクセスリストをルートフィルタとして引き続き使用できますが、使用しないでください

理にかなっていますか?


「たとえば、OSPFのすべての/ 24をBGPにアドバタイズしますが、/ 32をアドバタイズしません。アクセスリストを処理することは不可能です」
-MiniMe

本当にサブネットマスクで一致させたい場合は、標準のアクセスリストでは不可能です。ええ、ゼロホストフィールドでのマッチングは同じふりをすることができます;)
ioshints

10

全体ではありません。

どちらもネットワークアドレスでフィルタリングする手段を提供しますが、いくつかの重要な違いがあります。

  • 拡張ACLは、「上位層」情報、つまりTCP / UDPポートに基づいてフィルタリングできます。プレフィックスリストはできません。
  • 拡張/標準ACLは、任意のアドレスまたはアドレス範囲の指定を可能にするワイルドカードマスクを使用できます。プレフィックスリストではこれができません。
  • プレフィックスリストは、プレフィックスの長さで一致することができます-「ge」および「le」キーワードでそれぞれ最小または最大の長さ。

ルーティングポリシーについては、「表現力豊か」だと感じる人もいますが、どちらかを使用することを制限する余地はあまりないため、プレフィックスリストを使用する傾向があります-状況/要件が求めるものです。


2
プレフィックスリストは、ge / 24である受信プレフィックスの拒否や、アドバタイズされるローカルASプレフィックスのリストの作成など、BGPのインバウンドおよびアウトバウンドフィルタリングでよく見られます(必要以上にアドバタイズしてトランジットにならないようにするため) )。
generalnetworkerror

6

Prefix-listは、ルーティングテーブルまたはBGPテーブルで送信、受信、または存在するプレフィックスと一致するため、ルートフィルタリングとルート再配布に使用されます。プレフィックスのビットだけでなく、プレフィックスの長さも一致します。ACLは、トラフィックフィルタリング、QoSのトラフィックのマッチング、NAT、VPN、ポリシーベースルーティングのトラフィックのマッチングなど、より多くの機能に使用できます。また、ルートフィルターと再配布にも使用できますが、構文は次のように異なります。他の目的で使用される場合。



0

プレフィックスリストは、アクセスリストと非常によく似ています。プレフィックスリストには、順番に処理される1つ以上の順序付けられたエントリが含まれます。


こんにちは、あなたの答えをありがとう。2つの異なる回答を追加するつもりでしたか?Stack Exchangeは同じ質問に対する2つの異なる答えを気にしませんが、ほとんどの人は1つだけで答えます。これを元の回答の編集にするつもりだった場合は、このテキストをコピーして他の回答に編集してください。次に、この回答を削除します。
マイクペニントン14

-2

プレフィックスリストは、ルート更新で許可または拒否するアドレスまたはアドレス範囲を指定するために使用されます...


-3

アクセスリストはトラフィックフィルタリング用、プレフィックスリストはルートフィルタリング用

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.