一、配置ACL规则中的掩码都是反掩码。
反掩码又称为通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”
[Huawei] acl number 2000
[Huawei-acl-basic-2000] rule permit source 192.168.32.1 0 //只允许一个具体IP地址,反掩码为0.0.0.0,简写为0
[Huawei-acl-basic-2000] rule permit source 192.168.32.0 0.0.0.255 //允许一个C网段
二、掩码和反掩码的区别:
掩码主机位必须是连续的,而反掩码可以不是连续的
1、什么是连续和非连续:
①比如掩码255.255.255.128,对应CIDR=/25,换算成二进制=连续7个0的主机位11111111 11111111 11111111 10000000 二进制1=精确匹配 二进制0=模糊匹配
②反掩码不受此限制,主机位可以连续也可以不连续,例如:反掩码=0.0.0.111 其中111换算成二进制=01101111为非连续主机位 二进制1=模糊匹配,二进制0=精确匹配
例如:192.168.1.96 0.0.0.111
192.168.1.96 和 0.0.0.111,其中反掩码的0为精确匹配,所以只剩下96和反掩码的111需要转换为二进制转换
十进制转换二进制方法,将数值除以2,除尽标0,除不尽标1,直到最后值为1,然后反向排序,不足8位以0填充高位
下面以100转换为二进制举例:
根据上面的方法
01110100(96=ip)
01101111 (111=反掩码)
将ip按照反掩码匹配原则得出0xx1xxxx,其中x可以取值为1,也可以取值为0,即192.168.1.0xx1xxxx不连续的地址范围,如下图:
三、根据反掩码和IP地址的特性,可以通过反掩码来指定奇数和偶数位IP地址。
二进制最后1位是0=偶数
二进制最后1位是1=奇数
所以根据反掩码匹配规则,只需要二进制最后1位精确匹配到0或1,例如:
192.168.1.0 0.0.0.254 匹配192.168.1.0/24范围中偶数的地址
192.168.1.1 0.0.0.254 匹配192.168.1.0/24范围中奇数的地址
254转换为2进制=11111110 其中反掩码最后一位0为精确匹配ip地址最后一位的0或1