ACL中wildcard mask的使用

最新推荐文章于 2023-10-10 08:55:15 发布
最新推荐文章于 2023-10-10 08:55:15 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 网络技术 文章标签: wildcard 网络 路由器

                                 ACLwildcard mask的使用

                                                                          --By Garylu

 

   在路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如:

access-list permit 1 192.168.1.0 0.0.0.3

access-list permit 1 192.168.1.16 0.0.0.15

   初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL中的wildcard mask只能使用网络中已使用的地址段的子网掩码的反掩码来作为ACL的wildcard mask,看以下例子:

例一:某网络上存在一IP地址段192.168.1.0/29,如果是要允许这个网段所有的机子上网就可以用access-list permit 1 192.168.1.0 0.0.0.7来做策略,但是如果要求只允许网络内192.168.1.1、192.168.1.5这两个地址上网的话,我们通常会这样写ACL:

Access-list permit 1 192.168.1.1 0.0.0.0

Access-list permit 1 192.168.1.5 0.0.0.0

Access-list deny any any

   如果对wildcard mask在ACL中的使用定义很清晰的话,我们可以用另外一种写法,在此之前,我们先来回顾下ACL中使用wildcard mask的匹配规则:

   ACL中的wildcard mask由32个0和1组成,如果该位为0那么被匹配的地址的对应位就必需与ACL中的地址对应位匹配,如:

被匹配地址:   192.168.1.1   1100 0000.1010 1000.0000 0001.0000 0001

Wildcard mask: 0.0.0.7       0000 0000.0000 0000.0000 0000.0000 0111

ACL中的地址:  192.168.1.0   1100 0000.1010 1000.0000 0001.0000 0000

   红色粗体部分就是被匹配地址与ACL中的地址需要完全匹配的部分,因为wildcard mask的前29位为0,而后三位为1,所以被匹配地址的后三位被忽略,也就是所谓的don’t care,因此后三位可以是0和1的任意组合。

我们再看下以下这个ACL: 

Access-list permit 1 192.168.1.1 0.0.0.4(192.168.1.1为ACL的匹配条件地址)

假设网络内被匹配地址段为192.168.1.0/29

 

被匹配地址:

192.168.1.1

1100 0000.

1010 1000.

0000 0001.

0000 0

0

01

 

192.168.1.2

1100 0000.

1010 1000.

0000 0001.

0000 0

0

10

 

192.168.1.3

1100 0000.

1010 1000.

0000 0001.

0000 0

0

11

 

192.168.1.4

1100 0000.

1010 1000.

0000 0001.

0000 0

1

00

 

192.168.1.5

1100 0000.

1010 1000.

0000 0001.

0000 0

1

01

 

192.168.1.6

1100 0000.

1010 1000.

0000 0001.

0000 0

1

10

Wildcard mask:

0.0.0.4  

0000 0000.

0000 0000.

0000 0000.

0000 0

1

00

ACL条件地址:

192.168.1.1

1100 0000.

1010 1000.

0000 0001.

0000 0

0

01

 

    

根据ACL的wildcard mask定义,0.0.0.4中只有第30位为1,所以与该位的匹配可以忽略(蓝色部分);而其它位必需与ACL中的条件匹配地址192.168.1.1的对应位相同,因此我们看上面红色字体,条件地址的末两位是01,和条件地址末两位相同的只有地址192.168.1.1、192.168.1.5,也就是说在地址段192.168.1.0/29中,只有1和5这两个地址能够通过ACL匹配。

我们上面例1中的ACL:

Access-list permit 1 192.168.1.1 0.0.0.0

Access-list permit 1 192.168.1.5 0.0.0.0

Access-list deny any any

可以写为:

Access-list permit 1 192.168.1.1 0.0.0.4

通过以上例子,我们看出ACL中的wildcard mask和在动态路由协议里的反码是不同定义的。

客居天涯
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由交换基础&ACL(访问控制列表)(标准写法)✍
✍千里之行,始于足下 ^,^
12-13 3189
ACL:访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT有具体的应用) ----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配,匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。 匹配的...
华三防火墙配置指导_华为设备基础的ACL业务配置,不同设备命令会有所不同
weixin_39974958的博客
12-09 2949
基本ACL业务配置指导拓扑图:1、 配置步骤(1)配置组网图相关接口的IP地址(2)rta与rtb之间启用ospf路由协议使网段可以互通(3)启用acl,并进行规则配置(4)在相应接口应用acl2、配置参考(1)RTA的配置[Quidway]sysname RTA[RTA]interface Ethernet 0/0[RTA-Ethernet0/0]ip address 30.1.1.1 30 ...
访问控制列表ACL的用法
liu_阳的博客
12-29 1811
1、拒绝某个特定的主机 例如:拒绝源地址为1.1.1.1的报文通过 rule 5 source 1.1.1.1 0.0.0.0 #必须要带有0.0.0.0 2、允许某个网段的所有主机通过 例如:允许192.168.1.0/24所有主机通过 rule 5 permit source 192.168.1.0 0.0.0.225 #(0.0.0.255)=(255.255.255.255)-(255.255.255.0) #24位掩码为255.255.255.0 允许192.168.2.0 2.
掩码,反掩码与通配符掩码
weixin_69884785的博客
10-10 4057
掩码,反掩码与通配符掩码,含通配符的计算以及反掩码与通配符的应用场景,以及特殊应用场景,如nat server配置
ENSP模拟交换环境调用高级ACL限制不同网段之间互访
weixin_34362790的博客
10-31 1957
实验环境:网段规划:vlan 100:10.10.10.0 /24 网关 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 网关 192.168.10.254 DNS:8.8.8.8配置Center1、创建vlanvlan 100description bangongvlan 101description youke 2、配置trunk接口inter...
ACL通配符(wildcardmask使用
weixin_30907523的博客
04-08 683
路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如: access-list permit 1 192.168.1.0 0.0.0.3 access-list permit 1 192.168.1.16 0.0.0.15 初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL...
ACL访问控制列表·ppt
04-30
Wildcard Mask ,值为 1 的 bit 表示该位忽略,值为 0 的 bit 表示该位需严格匹配。 ACL 的匹配顺序: ACL 的匹配顺序是从上到下,对于每个报文,ACL 会从上到下检查每个条目,直到找到第一个匹配的条目,然后...
路由交换技术-ACL的通配符.pptx
11-23
ACL的通配符(Wildcard Mask)是实现这些策略的关键组成部分。通配符的概念是与IP地址的子网掩码相反,它定义了哪些位是需要匹配的,哪些位是可以忽略的。 01通配符的概念: 通配符掩码是一种反向掩码,用于定义...
ACL 思科设备
09-13
- **wildcard mask**:在扩展ACL用于指定IP地址的子网掩码,与标准子网掩码不同,用于精确匹配。 - **eq / neq / range**:用于指定端口号,eq表示等于,neq表示不等于,range表示范围。 ### 注意事项 - **效率**...
CISCO ACL配置详解
03-22
* 命名访问控制列表:允许在标准和扩展访问列表使用名称代替表号。 访问控制列表使用原则 访问控制列表使用原则包括: * 最小特权原则:只给受控对象完成任务所必须的最小的权限。 * 最靠近受控对象原则:所有...
华为模拟器eNSP练习题-ACL
01-04
rule [id] permit|deny protocol source-ip-address source-wildcard-mask destination-ip-address destination-wildcard-mask ``` `id`是规则的顺序号,`permit|deny`指明动作,`protocol`是协议类型,如TCP或...
ACLwildcard mask
weixin_34068198的博客
11-24 204
ACLwildcardmask使用路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如: access-listpermit1192.168.1.00.0.0.3 access-listpermit11...
浅谈为何需要反掩码inverse-mask wildcard-mask
m0_47505062的博客
06-02 3791
个人对反掩码的理解
汇总好玩的cmd命令大全
热门推荐
Ashman.se
05-28 6万+
前言: CMD是什么?在windows环境下,命令行程序为cmd.exe。 是一个32位的命令行程序,微软Windows系统基于Windows上的命令解释程序。 类似于微软的DOS操作系统。输入一些命令,cmd.exe可以执行。 比如输入shutdown -s就会在30秒后关机。总之,它非常有用。 很多朋友往往都对黑客比较崇拜,其实黑客也只是比我们知道更多一些我们所不了解的电脑相关命令。 在使用...
mkimage制作linux内核映像 (转)
itismine的专栏
10-27 1042
bootm命令是用来引导经过u-boot的工具mkimage打包后的kernel image的,什么叫做经过u-boot的工具mkimage打包后的kernel image,这个就要看mkimage的代码,看看它做了些什么,虽然我很希望大家不要偷懒,认真地去看看,但是我知道还是有很多人懒得去做这件,那么我就j将分析mkimage代码后得到的总结告诉大家,mkimage做了些什么
网络(四)OSPF
hekateshana的博客
07-07 266
OSPF 目录OSPFLSA类别OSPF优点原理RID(Router id)DR&BDR邻居&邻接OSPF报文OSPF邻接关系(MA)支持的网络类型建立条件OSPF区域骨干/非骨干区域OSPF配置 链路状态路由协议。(开放式最短路径优先OSPF) 将链路状态打包成报文(LSA)发给对方。不是路由条目,因此不会被路由过滤,会转发到全网所有路由器。 其他路由器会先转发LSA,然后路由器会根据需求(计算)来选择是否将其的路由信息加入自己的路由表。 一个路由器会收到很多LSA,全收集在LSDB,然
wildcard-mask:通配符掩码与反掩码的区别
大任的网络专栏
03-12 1万+
wildcard-mask:通配符掩码与反掩码的区别 在配置ACL、OSPF、EIGRP的时候,通常会用到wildcard-mask,他们在Cisco IOS下面的提示信息分别为: A.B.C.D Source wildcard bits A.B.C.D OSPF wild card bits A.B.C.D EIGRP wild card bits
反转掩码
weixin_33756418的博客
10-30 466
路由器使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址的多少位。这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加...
通配符掩码计算
将勤补拙
11-30 2万+
一,通配符掩码 1.通配符掩码的用途和结构 ①用途 通配符掩码(wildcard-mask路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址的多少位。 ②结构 通配符掩码,0表示要检查的位,1表示不需要检查的位 通配符掩码,可以用255.255.255...
wildcard-mask
最新发布
04-19
通配符掩码(wildcard mask)是一种用于网络地址转换和访问控制列表(ACL)的工具。它与IP地址一起使用,用于指定哪些位在匹配时需要进行比较,哪些位可以忽略。 通配符掩码使用与子网掩码相似的形式,但是它的作用相反。子网掩码用于指定网络地址哪些位是网络位,哪些位是主机位。而通配符掩码用于指定哪些位需要匹配,哪些位可以忽略。 通配符掩码的每一位可以是0、1或者通配符符号“?”。当通配符掩码的某一位为0时,表示该位在匹配时必须与目标地址的对应位相同;当通配符掩码的某一位为1时,表示该位在匹配时可以忽略;当通配符掩码的某一位为“?”时,表示该位在匹配时可以是0或者1。 例如,如果有一个IP地址为192.168.1.0的网络,如果我们想要匹配该网络的所有主机,可以使用通配符掩码为0.0.0.255。其,前三个字节的通配符掩码为0,表示这三个字节需要精确匹配;最后一个字节的通配符掩码为255,表示最后一个字节可以忽略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值