在我们学习ACL中,在搞懂ACL的同时也要搞定通配符掩码(wildcard mask)。说简单点,通配符掩码就是0为绝对匹配,必须严格匹配才行,而1为任意,从某种意义上讲,如果一个8位上有一个1字符,那也只有两种方式,0或者1,但是如果进行组合,那么方式就多了。
记住一点:只要严格按照0——严格匹配,1——任意配置的原则不管什么反掩码都是纸老虎。
举例说明吧。
一般我们在应用上都是进行地址块的匹配,怎么讲呢?就是说:
(1)对某个A B C类网进行匹配或者教通配符屏蔽
(2)对某个子网应用ACL。
(3)对特定主机应用ACL
(4)对任意主机或者网络应用ACL
(5)特殊情况的匹配
差不多就是以上五种情况,下面一一说明。
(1)对某个有类网络进行ACL的通配符屏蔽。
这种情况很好解释。
例如:A类:10.0.0.0 0.255.255.255
先写成二进制形式: 00001010.00000000.00000000.00000000
00000000.11111111.111111111.11111111
可以看出,第一个字节需要严格匹配,也就是说必须为10.,后面的任意匹配。
得到的网络为10...*
如果我把这个改一下呢?10.0.0.0 0.0.3.255
同样写成二进制形式:00001010.00000000.00000000.00000000
00000000.00000000.00000011.111111111
前两个字节严格匹配为10.0,后面的同上题一个思路,0就严格匹配,1就任意。
在这里,后10个比特可以任意匹配,我们通过计算可以得到合适的结果:
10.0.0.*
10.0.1.*
10.0.2.*
10.0.3.*
这四个子网
在例如这道题(华为认证中的某到题)
10.1.1.0 0.0.254.255
写成二进制
0000 1010 . 0000 0001 . 0000 0001 .0000 0000
0000 0000 . 0000 0000 . 1111 1110 . 1111 1111
根据0就严格匹配,1就任意,可得到结果 (注意:这里X代表任意填充 )
10.1.xxxx xxx1.xxxx xxxx
即匹配到了 10.1.1.1(10.1.0000 0001.0000 0000) 10.1.3.1(10.1.0000 0011.0000 0000)
所以选AC
(2)对某个子网应用ACL
还是举例说明,以C类网络192…168.1.0/24为例进行子网划分。
我们引入地址块的思想进行解释会好理解一些。因为子网一般都是以地址块形式存在的。
地址块为128,192.168.1.128 0.0.0.127
地址块为64,192.168.1.0 0.0.0.63
地址块为32,192.168.1.0 0.0.0.31
地址块为16,192.168.1.0 0.0.0.15
地址块为8,192.168.1.0 0.0.0.7
地址块为4,192.168.1.0 0.0.0.3
地址块为2,192.168.1.0 0.0.0.1
(3)对特定主机应用ACL
通配符需要全匹配,例如:192.168.13.3 0.0.0.0
还有一种表示方法:host 192.168.13.3
Host在这里是关键字,用来代替0.0.0.0 ,用于源地址和目的地址字段。
(4)对任意主机或者网络应用ACL
这是任意匹配的情况,主机任意,通配符任意匹配:0.0.0.0 255.255.255.255,同时这里也有简写——any
(5)比较特殊的情况。
用我的话说这种情况是不按规则出牌的情况,也是比较有趣的。
我不想让某个子网或者是某个有类网被通配符屏蔽,我仅仅是想让部分主机被屏蔽,不过这部分主机也应该是有规律的,要不管理人员肯定得折腾疯。哈哈。
仅举两例以供说明:
随便写一个,计算出屏蔽了哪些网络。
随便写一个 192.168.1.23 0.0.0.5
怎么?傻眼了?哈哈哈哈哈哈哈哈,这就是不按规则出牌的情况,CCNA自学指南里面肯定说了,不能从11.0或者12.0等网络开始,非得是2的次幂才行。对此规矩我们不予理睬,下面我慢慢讲解,大家细细品味,还是使用最为原始的办法进行一个一个匹配。
写成二进制形式:11000000.10101000.00000001.00010111
00000000.00000000.00000000.00000101
接下来就是匹配计算了。前三个字节毫无疑问,严格匹配。最后一个字节逢0匹配,逢1任意。
0001 0010
0000 0011
0000 0110
0000 0111
000101
如上的公式,我们看到有星号的位置是可以任意匹配的,这样我们就可以算出:
①00010010——18
②00010011——19
③00010110——21
④00010111——23
这样就很明显了,得到的结果就是
192.168.1.18
192.68.1.19
192.168.1.21
192.168.1.23 都被0.0.0.5这个通配符掩码给屏蔽了。
怎样,这个不按规则出牌的通配符掩码是不是也愚弄了你一次?
备注:只要严格按照0——严格匹配,1——任意配置的原则不管什么反掩码都是纸老虎。
写第二个,我需要匹配一个网络里面奇数IP的主机或者偶数IP的主机(或者的路由过滤中需要奇数网络)
还是看例子:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
192168.1.6
192.168.1.7
192.168.1.9
……………
192.168.1.254
思路都是一样的,条条道路通罗马,这里条条道路通配符
我还是要写成二进制形式
前面的三个字节就省略了,只写后面的一个字节的:
00000001
00000010
00000011
00000100
00000101
00000110
00000111
…………
看出规律了么? 什么?没有啊,仔细瞧瞧么!奇数IP的最后一位都是1,而偶数IP的最后一位都是0。这就是规律啊。
那么怎么写呢?这个就比较简单了吧,奇数IP的:192.168.1.1 0.0.0.254 ;偶数IP的呢——192.168.1.2 0.0.0.254
再例如 192.168.1.0 0.0.0.254 (抓到了192.168.1.2 192.168.1.4 192.168.1.6 192.168.1.8 ………等等)
如上就是我对ACL的理解,有说错的,做错的,还望大家指正,所谓三人行必有我师,你有什么更好的办法别忘记跟帖。
ACL主要难点是在通配符的计算,如有这么一道题:
已知子网,求通配符掩码。
例:允许199.172.5.0/24
199.172.10.0/24
199.172.13.0/24
199.172.14.0/24网段访问路由器。要求写出ACL来,但只能用两条ACL代替。
先将这四个数换成二进制:
5.0 0 1 0 1
10.0 1 0 1 0
13.0 1 1 0 1
14.0 1 1 1 0
观察可以看到5.0和13.0
10.0和14.0有共同点。
2.将不相同的部分(变换的数字)用Z表示
5.0和13.0
Z 1 0 1
10.0和14.0
1 Z 1 0
3.将Z换成1,不变换(相同部分)换成0。可以得出:
5.0和13.0
Z 1 0 1 ------------ 1 0 0 0
10.0和14.0
1 Z 1 0 ------------ 0 1 0 0
4.最后将二进制换成十进制:
5.0和13.0
Z 1 0 1 ------------ 1 0 0 0 -------- 8
10.0和14.0
1 Z 1 0 ------------ 0 1 0 0 -------- 4
最后得出:
access-list 10 permit 199.172.5.0 0.0.8.0
access-list 11 permit 199.172.10.0 0.0.4.0
举个例子:
比如:控制192.168.1.40/24-192.168.1.70/24这一段IP地址能访问server,如何设置通配符掩码?
只能分段完成,这里我分四段。(也可以分五段,自己想)
192.168.1.40—47 192.168.1.40 0.0.0.7
192.168.1.48—63 192.168.1.48 0.0.0.15
192.168.1.64—71 192.168.1.64 0.0.0.7
外加一条deny 192.168.1.71 0.0.0.0
也可以五段:
00101000 192.168.1.40 0.0.0.7(192.168.1.40-47)
00101111
00000111
00110000 192.168.1.48 0.0.0.15(192.168.1.48-63)
00111111
00001111
01000000 192.168.1.64 0.0.0.3 (192.168.1.64-67)
01000011
01000100 192.168.1.68 0.0.0.1 (192.168.1.68-69)
01000101
01000110 192.168.1.70 0.0.0.0 (192.168.1.70)