ACL中wildcard mask的使用

最新推荐文章于 2023-06-19 20:48:28 发布
最新推荐文章于 2023-06-19 20:48:28 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 网络技术 文章标签: wildcard 网络 路由器

                                 ACLwildcard mask的使用

                                                                          --By Garylu

 

   在路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如:

access-list permit 1 192.168.1.0 0.0.0.3

access-list permit 1 192.168.1.16 0.0.0.15

   初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL中的wildcard mask只能使用网络中已使用的地址段的子网掩码的反掩码来作为ACL的wildcard mask,看以下例子:

例一:某网络上存在一IP地址段192.168.1.0/29,如果是要允许这个网段所有的机子上网就可以用access-list permit 1 192.168.1.0 0.0.0.7来做策略,但是如果要求只允许网络内192.168.1.1、192.168.1.5这两个地址上网的话,我们通常会这样写ACL:

Access-list permit 1 192.168.1.1 0.0.0.0

Access-list permit 1 192.168.1.5 0.0.0.0

Access-list deny any any

   如果对wildcard mask在ACL中的使用定义很清晰的话,我们可以用另外一种写法,在此之前,我们先来回顾下ACL中使用wildcard mask的匹配规则:

   ACL中的wildcard mask由32个0和1组成,如果该位为0那么被匹配的地址的对应位就必需与ACL中的地址对应位匹配,如:

被匹配地址:   192.168.1.1   1100 0000.1010 1000.0000 0001.0000 0001

Wildcard mask: 0.0.0.7       0000 0000.0000 0000.0000 0000.0000 0111

ACL中的地址:  192.168.1.0   1100 0000.1010 1000.0000 0001.0000 0000

   红色粗体部分就是被匹配地址与ACL中的地址需要完全匹配的部分,因为wildcard mask的前29位为0,而后三位为1,所以被匹配地址的后三位被忽略,也就是所谓的don’t care,因此后三位可以是0和1的任意组合。

我们再看下以下这个ACL: 

Access-list permit 1 192.168.1.1 0.0.0.4(192.168.1.1为ACL的匹配条件地址)

假设网络内被匹配地址段为192.168.1.0/29

 

被匹配地址:

192.168.1.1

1100 0000.

1010 1000.

0000 0001.

0000 0

0

01

 

192.168.1.2

1100 0000.

1010 1000.

0000 0001.

0000 0

0

10

 

192.168.1.3

1100 0000.

1010 1000.

0000 0001.

0000 0

0

11

 

192.168.1.4

1100 0000.

1010 1000.

0000 0001.

0000 0

1

00

 

192.168.1.5

1100 0000.

1010 1000.

0000 0001.

0000 0

1

01

 

192.168.1.6

1100 0000.

1010 1000.

0000 0001.

0000 0

1

10

Wildcard mask:

0.0.0.4  

0000 0000.

0000 0000.

0000 0000.

0000 0

1

00

ACL条件地址:

192.168.1.1

1100 0000.

1010 1000.

0000 0001.

0000 0

0

01

 

    

根据ACL的wildcard mask定义,0.0.0.4中只有第30位为1,所以与该位的匹配可以忽略(蓝色部分);而其它位必需与ACL中的条件匹配地址192.168.1.1的对应位相同,因此我们看上面红色字体,条件地址的末两位是01,和条件地址末两位相同的只有地址192.168.1.1、192.168.1.5,也就是说在地址段192.168.1.0/29中,只有1和5这两个地址能够通过ACL匹配。

我们上面例1中的ACL:

Access-list permit 1 192.168.1.1 0.0.0.0

Access-list permit 1 192.168.1.5 0.0.0.0

Access-list deny any any

可以写为:

Access-list permit 1 192.168.1.1 0.0.0.4

通过以上例子,我们看出ACL中的wildcard mask和在动态路由协议里的反码是不同定义的。

客居天涯
关注
专栏目录
华三防火墙配置指导_华为设备基础的ACL业务配置,不同设备命令会有所不同
weixin_39974958的博客
12-09 3054
基本ACL业务配置指导拓扑图:1、 配置步骤(1)配置组网图相关接口的IP地址(2)rta与rtb之间启用ospf路由协议使网段可以互通(3)启用acl,并进行规则配置(4)在相应接口应用acl2、配置参考(1)RTA的配置[Quidway]sysname RTA[RTA]interface Ethernet 0/0[RTA-Ethernet0/0]ip address 30.1.1.1 30 ...
ACL通配符(wildcardmask使用
weixin_30907523的博客
04-08 724
路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如: access-list permit 1 192.168.1.0 0.0.0.3 access-list permit 1 192.168.1.16 0.0.0.15 初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL...
ACLwildcard mask
weixin_34068198的博客
11-24 223
ACLwildcardmask使用路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如: access-listpermit1192.168.1.00.0.0.3 access-listpermit11...
wildcard-mask:通配符掩码与反掩码的区别
大任的网络专栏
03-12 1万+
wildcard-mask:通配符掩码与反掩码的区别 在配置ACL、OSPF、EIGRP的时候,通常会用到wildcard-mask,他们在Cisco IOS下面的提示信息分别为: A.B.C.D Source wildcard bits A.B.C.D OSPF wild card bits A.B.C.D EIGRP wild card bits
浅谈为何需要通配符掩码wildcard-mask和反掩码inverse-mask
m0_47505062的博客
06-02 4324
个人对反掩码的理解
访问控制列表ACL的用法
liu_阳的博客
12-29 1987
1、拒绝某个特定的主机 例如:拒绝源地址为1.1.1.1的报文通过 rule 5 source 1.1.1.1 0.0.0.0 #必须要带有0.0.0.0 2、允许某个网段的所有主机通过 例如:允许192.168.1.0/24所有主机通过 rule 5 permit source 192.168.1.0 0.0.0.225 #(0.0.0.255)=(255.255.255.255)-(255.255.255.0) #24位掩码为255.255.255.0 允许192.168.2.0 2.
wildcard-mask
最新发布
04-19
通配符掩码(wildcard mask)是一种用于网络地址转换和访问控制列表(ACL)的工具。它与IP地址一起使用,用于指定哪些位在匹配时需要进行比较,哪些位可以忽略。 通配符掩码使用与子网掩码相似的形式,但是它的作用...
路由交换技术-ACL的通配符.pptx
11-23
ACL的通配符(Wildcard Mask)是实现这些策略的关键组成部分。通配符的概念是与IP地址的子网掩码相反,它定义了哪些位是需要匹配的,哪些位是可以忽略的。 01通配符的概念: 通配符掩码是一种反向掩码,用于定义...
ACL访问控制列表·ppt
04-30
Wildcard Mask ,值为 1 的 bit 表示该位忽略,值为 0 的 bit 表示该位需严格匹配。 ACL 的匹配顺序: ACL 的匹配顺序是从上到下,对于每个报文,ACL 会从上到下检查每个条目,直到找到第一个匹配的条目,然后...
ACL的配置以及翻转掩码
不见风雨怎能见彩虹
11-08 3257
1、配置ACL要点 访问列表要指明过滤什么协议; 按顺序匹配访问列表; 一般限制性的访问列表应该放在前面; 在访问列表的最后隐性定义了deny any——所有每个访问列表应该至少包含一条permit声明,否则将过滤掉所有包; 先创建访问列表,后使用; 访问列表过滤通过路由器的流量,但不会应用于源自路由的流量。 2、ACL的编号 3、配置ACL的步骤 (1)创建ACL access-list...
ENSP模拟交换环境调用高级ACL限制不同网段之间互访
weixin_34362790的博客
10-31 2006
实验环境:网段规划:vlan 100:10.10.10.0 /24 网关 10.10.10.254 DNS:8.8.8.8vlan 101:192.168.10.0/24 网关 192.168.10.254 DNS:8.8.8.8配置Center1、创建vlanvlan 100description bangongvlan 101description youke 2、配置trunk接口inter...
10、ACL(访问控制列表)原理与配置
2301_76274559的博客
06-19 2771
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置。
ACL里面匹配网段的规则原来是这样,终于理解了
NeverGUM的博客
10-14 1万+
一直对ACL和OSPF里面匹配网段的掩码有点模糊,OSPF使用反掩码,ACL使用通配符掩码,看样子一样,其实略有点区别。 先来看看度娘对通配符掩码的定义。 通配符掩码(wildcard-mask) 通配符掩码(wildcard-mask路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址的多少位。这个地址掩码可以只使用两个32位的号码来确定IP地址的范围。这是
mkimage制作linux内核映像 (转)
timequark的专栏
10-27 1078
bootm命令是用来引导经过u-boot的工具mkimage打包后的kernel image的,什么叫做经过u-boot的工具mkimage打包后的kernel image,这个就要看mkimage的代码,看看它做了些什么,虽然我很希望大家不要偷懒,认真地去看看,但是我知道还是有很多人懒得去做这件,那么我就j将分析mkimage代码后得到的总结告诉大家,mkimage做了些什么
通配符掩码计算
热门推荐
将勤补拙
11-30 2万+
一,通配符掩码 1.通配符掩码的用途和结构 ①用途 通配符掩码(wildcard-mask路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址的多少位。 ②结构 通配符掩码,0表示要检查的位,1表示不需要检查的位 通配符掩码,可以用255.255.255...
wsus配置工作组计算机,wsus工作组注册表
weixin_39604598的博客
07-16 783
通过导入注册表方式来设置windows wsus工作组计算机的wsus更新.网上转帖,感谢原创.wsus客户端注册表方式配置用于工作组状态的wsus更新.(网上转载 感谢原创!)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]"WUS...
Ubuntu Server 10.04, resin 3.1.10, nginx 0.7.65 架设负载均衡网站
KimSoft's Blog
06-15 4341
Ubuntu Server 10.04, resin 3.1.10, nginx 0.7.65 架设负载均衡网站
Nginx HTTP负载均衡/反向代理的相关参数测试
kindy的开发工作室
08-06 583
参考 http://www.cnblogs.com/xiaochaohuashengmi/archive/2011/03/15/1984976.html 测试目的 (1)弄清楚HTTP Upstream 模块Server指令的max_fails与fail_timeout
mysql 双机rac_Mysql上的RAC:Percona XtraDB Cluster负载均衡集群安装部署手冊
weixin_34506795的博客
01-27 255
Percona XtraDB Cluster安装部署手冊编写此文档,供PerconaXtraDB Cluster部署时使用。系统维护人员及实施人员。通过阅读该手冊,让读者明白PerconaXtraDB Cluster的安装、配置和维护情况,为兴许数据库运维工作提供指导。应用部署方案环境准备服务器列表序号IP用途HOSTNAME操作系统1192.168.0.7Percona XtraDB Clust...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值