在路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,例如:
access-list permit 1 192.168.1.0 0.0.0.3
access-list permit 1 192.168.1.16 0.0.0.15
初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL中的wildcard mask只能使用网络中已使用的地址段的子网掩码的反掩码来作为ACL的wildcard mask,看以下例子:
例一:某网络上存在一IP地址段192.168.1.0/29,如果是要允许这个网段所有的机子上网就可以用access-list permit 1 192.168.1.0 0.0.0.7来做策略,但是如果要求只允许网络内192.168.1.1、192.168.1.5这两个地址上网的话,我们通常会这样写ACL:
Access-list permit 1 192.168.1.1 0.0.0.0
Access-list permit 1 192.168.1.5 0.0.0.0
Access-list deny any any
如果对wildcard mask在ACL