#1 楼
这是它们的产生历史(以及它们为什么如此)的历史:在互联网的早期,人们开始要求数据包过滤器(也称为访问列表)。
思科首先实现了简单的访问列表(在目标主机地址上进行过滤,并通过通配符掩码进行了扩展),但是它们当然不足以阻止(例如)SMTP,因此他们创建了扩展访问列表,该列表可以匹配源和目标IP地址上(都带有通配符位-这些位使您可以匹配整个前缀),协议,端口号...
所以:访问列表=数据包过滤器。
后来(但仍然是几十年前),人们开始在同一设备上运行多种路由协议,并希望在它们之间重新分配信息。没问题,但是您不希望所有传播到其他路由协议的信息都需要-ROUTE FILTERS。通常,如果您碰巧用锤子敲打,一切都看起来像钉子,因此Cisco的工程师使用他们已经拥有的对象-访问列表实施了路由过滤器。
此时:访问列表=数据包过滤器(有时是路由过滤器)
随着无类路由的出现(是的,很久以前-有人还记得A类,B类和C类地址的时代)想要在路由协议之间重新分配一定大小的前缀。例如:从OSPF向BGP通告所有/ 24,但不通告/ 32。与访问列表无关。新的时刻:让我们使用扩展访问列表,并假装数据包过滤器中的源IP地址代表网络地址(实际上是前缀地址),而数据包过滤器同一行中的目标IP地址代表子网掩码。 >
到目前为止:访问列表=数据包过滤器。简单访问列表还可以用作路由筛选器(仅在网络地址上匹配),扩展访问列表可以用作匹配地址和子网掩码的路由筛选器。当决定将扩展ACL重新用于路由过滤器时,才华横溢的主意是什么?
最终结果:Cisco IOS得到了前缀列表,这些前缀列表在功能上几乎与充当路由过滤器的扩展访问列表相同,但是以普通人可以理解的格式显示。
今天:将访问列表用于数据包过滤器,并将前缀列表用于路由过滤器。您仍然可以将访问列表用作路由过滤器,但不要这样做。
是否有意义?
#2 楼
数量不多。它们都提供了对网络地址进行过滤的方法,但有两个主要区别:
扩展的ACL可以基于“高层”信息,即TCP / UDP端口。前缀列表不能。
扩展/标准ACL可以使用通配符掩码,以允许指定任意地址或地址范围。前缀列表不能执行此操作。
前缀列表可以匹配前缀长度-分别使用“ ge”和“ le”关键字的最小或最大长度。
对于路由策略,人们将倾向于使用前缀列表,因为有些人认为它们更“富有表现力”,但是使用一个或多个列表并没有太多限制,这是情况/要求所要求的。
评论
前缀列表通常在BGP入站和出站过滤中找到,例如拒绝接收到的所有ge / 24前缀或创建将被通告的本地AS前缀列表(以免通告过多,而成为过渡) )。
–generalnetworkerror
13年5月22日在8:02
#3 楼
前缀列表用于路由过滤和路由重新分配,因为它与路由表或BGP表中发送,接收或存在的前缀匹配。它们与前缀中的位匹配,但也与前缀长度上的匹配。
ACL可以用于更多功能,例如:流量过滤,匹配QoS的流量,匹配NAT,VPN的流量,基于策略的路由等。
它们还可以用于路由过滤器和重新分配,但是它们的语法不同于用于其他目的的语法。
#4 楼
除了John Jensen所说的以外,我还要补充一点,ACL也用于安全目的(例如,限制远程访问),而前缀列表不能单独具有此功能。前缀列表会保留在L3上,而ACL可能会向上一层,从而带来更多功能。 co.uk/ccie/?p=447
#5 楼
前缀列表的工作方式与访问列表非常相似。前缀列表包含一个或多个按顺序处理的有序条目。评论
嗨,谢谢您的回答。您打算添加两个不同的答案吗?尽管Stack Exchange不在乎同一问题的两个不同答案,但大多数人只回答一个。如果您确实希望将其修改为原始答案,请复制此文本并将其编辑为其他答案。然后删除此答案。
–迈克·彭宁顿
2014年7月6日9:37
评论
“例如:将所有/ 24从OSPF通告到BGP,但不通告/ 32。不可能与访问列表有关”-并非不可能,但乏味
– MiniMe
16年6月17日在16:18
如果您确实想在子网掩码上进行匹配,则无法使用标准访问列表。是的,您可以假装零主机字段上的匹配是相同的;)
–ioshints
16年6月20日在6:23