Access list hay Prefix list???

Access list và Prefix list là các kỹ thuật rất hay và quan trọng trong việc lựa chọn tuyến (route filtering), QoS… Trong BGP, 2 kỹ thuật này được sử dụng để filter route (lọc tuyến học từ BGP peer hoặc update cho BGP peer khác). Vậy sự khác nhau giữa 2 kỹ thuật này là gì? Và dùng chúng khi nào?

Prefix list được sử dụng trong việc deny/permit một traffic dựa vào subnet-mask của incoming-traffic. Prefix list thông thường sẽ được sử dụng với một route map để lọc ra các traffic, từ đó áp một chính sách nào đó (permit, deny…) vào traffic. Có thể thấy Prefix list rất đơn giản trong việc cấu hình match với các IP prefix ở nhiều subnet-mask khác nhau, kể cả là 1 dải subnet mask với các option ge (greater than or equal) và le (less than or equal).

Ví dụ cấu hình: ip prefix-list EXAM seq 5 permit 203.202.193.0/24

=> Prefix list = route filter

Tương tự như Prefix list, ACL cũng được sử dụng để điều khiển traffic, nhưng với nhiều tham số hơn: source/destination IP, tcp/udp port. Việc cấu hình filter một IP Prefix với ACL trở nên phức tạp hơn khi bạn phải tính toán ra wildcard mask để cung cấp cho thiết bị. Hơn nữa, nguyên tắc hoạt động của ACL là sẽ so khớp từng bit trong chuỗi bit của dải địa chỉ mạng, điều này sẽ khiến hoạt động của router trở nên nặng nề hơn so với khi sử dụng Prefix list.

=> Access list = packet filter (tất nhiên có thể dùng cho route filter)

Chốt lại:

  • Access list tốn tài nguyên thiết bị hơn Prefix list.
  • Access list cấu hình phức tạp hơn Prefix list.
  • Access list linh hoạt và có nhiều option để filter packet hơn Prefix list.

Okie, từ đây mọi người có thể lựa chọn cho mình nên sử dụng ACL hay Prefix list rồi. Với mình, cứ khi nào cần filter route thì sẽ chọn Prefix list, còn lại là dùng ACL hết 🙂

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s