ACL通配符掩碼

1、學(xué)習(xí)ACL,搞懂ACL就不能不搞定wildcardmask,通配符掩碼。說(shuō)簡(jiǎn)單點(diǎn)，通配符掩碼就是0為絕對(duì)匹配，必須嚴(yán)格匹配才行，而1為任意，從某種意義上講，如果一個(gè)8位上有一個(gè)1字符,那也只有兩種方式,0或者1,但是如果進(jìn)行組合,那么方式就多了。舉例說(shuō)明吧。一般我們?cè)趹?yīng)用上都是進(jìn)行地址塊的匹配,怎么講呢？就是說(shuō)：1）對(duì)某個(gè)ABC類網(wǎng)進(jìn)行匹配或者教通配符屏蔽2）對(duì)某個(gè)子網(wǎng)應(yīng)用ACL。3）對(duì)特定主機(jī)應(yīng)用ACL4）對(duì)任意主機(jī)或者網(wǎng)絡(luò)應(yīng)用ACL5）特殊情況的匹配差不多就是以上五種情況,下面一一說(shuō)明。1）對(duì)某個(gè)有類網(wǎng)絡(luò)進(jìn)行ACL的通配符屏蔽。這種情況很好解釋。例如：A類：10.0.0.00.255.25

2、5.255先寫成二進(jìn)制形式：00001010.00000000.00000000.0000000000000000.11111111.111111111.11111111可以看出,第一個(gè)字節(jié)需要嚴(yán)格匹配,也就是說(shuō)必須為10.,后面的任意匹配。得到的網(wǎng)絡(luò)為10.*.*.*如果我把這個(gè)改一下呢？10.0.0.00.0.3.255同樣寫成二進(jìn)制形式：00001010.00000000.00000000.0000000000000000.00000000.00000011.111111111前兩個(gè)字節(jié)嚴(yán)格匹配為10.0,后面的同上題一個(gè)思路,0就嚴(yán)格匹配,1就任意。在這里,后10個(gè)比特可以任意匹配,我

3、們通過(guò)計(jì)算可以得到合適的結(jié)果：10.0.0.*10.0.1.*10.0.2.*10.0.3.*這四個(gè)子網(wǎng)2）對(duì)某個(gè)子網(wǎng)應(yīng)用ACL還是舉例說(shuō)明，以C類網(wǎng)絡(luò)192.168.1.0/24為例進(jìn)行子網(wǎng)劃分。我們引入地址塊的思想進(jìn)行解釋會(huì)好理解一些。因?yàn)樽泳W(wǎng)一般都是以地址塊形式存在的。地址塊為128，192.168.1.1280.0.0.127地址塊為64，192.168.1.00.0.0.63地址塊為32，192.168.1.00.0.0.31地址塊為16，192.168.1.00.0.0.15地址塊為8，192.168.1.00.0.0.7地址塊為4，192.168.1.00.0.0.3地址塊為2，

4、192.168.1.00.0.0.13）對(duì)特定主機(jī)應(yīng)用ACL通配符需要全匹配，例如：182.168.12.40.0.0.0還有一種表示方法：host182.168.12.4Host在這里是關(guān)鍵字，用來(lái)代替0.0.0.0，用于源地址和目的地址字段。4）對(duì)任意主機(jī)或者網(wǎng)絡(luò)應(yīng)用ACL這是任意匹配的情況，主機(jī)任意，通配符任意匹配：0.0.0.0255.255.255.255，同時(shí)這里也有簡(jiǎn)寫any5）比較特殊的情況。用我的話說(shuō)這種情況是不按規(guī)則出牌的情況，也是比較有趣的。我不想讓某個(gè)子網(wǎng)或者是某個(gè)有類網(wǎng)被通配符屏蔽，我僅僅是想讓部分主機(jī)被屏蔽，不過(guò)這部分主機(jī)也應(yīng)該是有規(guī)律的，要不管理人員肯定得折騰瘋。

5、哈哈。僅舉兩例以供說(shuō)明：隨便寫一個(gè)，計(jì)算出屏蔽了哪些網(wǎng)絡(luò)。隨便寫一個(gè)192.168.1.230.0.0.5怎么？傻眼了？這就是不按規(guī)則出牌的情況，CCNA自學(xué)指南里面肯定說(shuō)了，不能從11.0或者12.0等網(wǎng)絡(luò)開始，非得是2的次冪才行。對(duì)此規(guī)矩我們不予理睬，還是使用最為原始的辦法進(jìn)行一個(gè)一個(gè)匹配。寫成二進(jìn)制形式：11000000.10101000.00000001.0001011100000000.00000000.00000000.00000101接下來(lái)就是匹配計(jì)算了。前三個(gè)字節(jié)毫無(wú)疑問(wèn)，嚴(yán)格匹配。最后一個(gè)字節(jié)逢0匹配，逢1任意。000101110000010100010*1*如上的公式，我們

6、看到有星號(hào)的位置是可以任意匹配的，這樣我們就可以算出：TOC o 1-5 h z0001001018000100111900010110210001011123這樣就很明顯了，得到的結(jié)果就是192.168.1.18192.68.1.19192.168.1.21192.168.1.23都被0.0.0.5這個(gè)通配符掩碼給屏蔽了。怎樣，這個(gè)不按規(guī)則出牌的通配符掩碼是不是也愚弄了你一次？備注：只要嚴(yán)格按照0嚴(yán)格匹配，1任意配置的原則不管什么反掩碼都是紙老虎。寫第二個(gè)，我需要匹配一個(gè)網(wǎng)絡(luò)里面奇數(shù)IP的主機(jī)或者偶數(shù)IP的主機(jī)（或者的路由過(guò)濾中需要奇數(shù)網(wǎng)絡(luò)）還是看例子：192.168.1.1192.168.

7、1.2192.168.1.3192.168.1.4192.168.1.5192168.1.6192.168.1.7192.168.1.9192.168.1.254思路都是一樣的，條條道路通羅馬，這里條條道路通配符我還是要寫成二進(jìn)制形式前面的三個(gè)字節(jié)就省略了，只寫后面的一個(gè)字節(jié)的：00000001000000100000001100000100000001010000011000000111看出規(guī)律了么？什么？沒(méi)有啊，仔細(xì)瞧瞧么！奇數(shù)IP的最后一位都是1,而偶數(shù)IP的最后一位都是0。這就是規(guī)律啊。那么怎么寫呢？這個(gè)就比較簡(jiǎn)單了吧，奇數(shù)IP的：192.168.1.10.0.0.254；偶數(shù)IP的呢

8、192.168.1.20.0.0.254如上就是我對(duì)ACL的理解，有說(shuō)錯(cuò)的，做錯(cuò)的，還望大家指正，所謂三人行必有我?guī)?，你有什么更好的辦法別忘記跟帖。ACL主要難點(diǎn)是在通配符的計(jì)算，如有這么一道題：已知子網(wǎng)，求通配符掩碼。例：允許199.172.5.0/24199.172.10.0/24199.172.13.0/24199.172.14.0/24網(wǎng)段訪問(wèn)路由器。要求寫出ACL來(lái)，但只能用兩條ACL代替。1.先將這四個(gè)數(shù)換成二進(jìn)制：5.0010110.0101013.0110114.01110觀察可以看到5.0和13.010.0和14.0有共同點(diǎn)。2.將不相同的部分用Z表示5.0和13.0Z10110.0和14.01Z103.將Z換成1，數(shù)字換成0?？梢缘贸?.0和13.0Z101100010.0和14.01Z10010