反转掩码

   路由器使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。这将造成很多额外的输入和路由器大量额外的处理过程。所以地址掩码对相当有用。
在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。相反,在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时,可将其称作“无关”位,因为路由器在判断是否匹配时并不关心它们。掩码位设成0则表示IP地址中相对应的位必须精确匹配。

例如:
掩码是255.255.255.0 
wildcard-mask 就是0.0.0.255
255.255.255.248 
反掩掩码就是0.0.0.7  
反转掩码,顾名思义,是将原子网的掩码0变成1,1变成0。原子网掩码为255.255.255.0,反转掩码就是0.0.0.255
ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代表必须精确匹配,1代表任意匹配(即不关心) 
反掩码可以通过使用255.255.255.255减去正常的子网掩码得到,比如要决定子网掩码为255.255.255.0的IP地址10.10.10.0的反掩码: 
255.255.255.255-255.255.255.0=0.0.0.255 
即10.10.10.0的反掩码为0.0.0.255 
注意: 
反掩码为255.255.255.255的0.0.0.0代表any,即任意地址 
反掩码为0.0.0.0的10.1.1.2代表主机地址10.1.1.2
下面描述的是如何汇总(summarization)一组网络地址,来达到优化ACL的目的: 
192.168.32.0/24 
192.168.33.0/24 
192.168.34.0/24 
192.168.35.0/24 
192.168.36.0/24 
192.168.37.0/24 
192.168.38.0/24 
192.168.39.0/24 
这组IP地址的前2个和最后1个八位位组是一样的,再看第3个八位位组,把它们写成2进制的形式: 
32:00 10 00 00 
33:00 10 00 01 
34:00 10 00 10 
35:00 10 00 11 
36:00 10 01 00 
37:00 10 01 01 
38:00 10 01 10 
39:00 10 01 11 
注意这组范围里的前5位都是一样的,所以这组IP地址范围可以汇总为192.168.32.0/21 255.255.248.0,那么这组IP地址范围的反掩码为255.255.255.255-255.255.248.0=0.0.7.255 
比如在做IP standard ACL的时候,就可以: 
access-list 10 permit 192.168.32.0 0.0.7.255

个人笔记:
ACL反转掩码写成0.0.0.254表示过滤网络中奇数地址。写成0.0.0.255则表示过滤这个子网的所有地址。例如:
全局模式下
access-list 1 permit 192.168.14.1 0.0.0.254(这个也可以写成192.168.14.0 0.0.0.254)
在接口模式下:
ip access-list 1 in
达到的结果是192.168.0.2能ping 通网关(192.168.14.1),192.168.14.3不能ping 通网关。
ACLs的一小段中文文档

一、导言
    本篇文档介绍了访问控制列表(ACLs)是如何过滤网络流量的。它也大致介绍了IP访问控制列表的类型,用途和它应用到网络上的具体实例。
二、前提
    阅读和使用本文档并没有什么特别的前提。只是要求你的Cisco IOS版本至少要是8.3或者更高。并请注意不同版本中IP访问控制列表的不同特点。
三、硬件和软件版本
    这篇文档中所讨论的访问控制列表的类型,是从Cisco IOS版本8.3至今的,请注意不同版本之间的差别。
四、了解访问控制列表(ACL)的概念
    这一部分讲述访问控制列表的概念
(一)使用掩码
    在访问控制列表中,掩码和IP地址配合使用来指定什么样的流量可以通过(permitted)或者禁止(denied)。要在接口上才能配置访问控制列表。它与子网掩码不同的是,子网掩码是由左端的255开始的(比如,IP地址:209.165.202.129,掩码:255.255.255.224)而访问控制列表的掩码与子网掩码是相反的(比如,访问控制列表的掩码:0.0.0.255)这种掩码通常被叫做反转掩码(inverse mask)或通配符掩码(wildcard mask)。当这些十进制的掩码被转换为二进制的时候(表现为一些0或1),就可以被用来决定什么样的流量应该被禁止,什么样的流量应该被通过。一个0表示它说对应的IP地址位一定要被精确匹配;一个1表示所对应的IP地址位应该被忽略,下面的表格用来说明访问控制列表的概念。
掩码示例:
网络地址:10.1.1.0(流量)
掩码:0.0.0.255
网络地址(二进制):00001010.00000001.00000001.00000000
掩码(二进制):00000000.00000000.00000000.11111111
    根据二进制的掩码,你可以看到,前三个八位数组必须被精确的匹配给网络地址(00001010.00000001.00000001)。最后的一个八位数组是“应该被忽略”的(.11111111)所以,所有的流量以10.1.1开始,直到最后八个“应该被忽略”的。所以,根据这个掩码,网络地址10.1.1.1直到10.1.1.255(10.1.1.x)都会被处理。
    访问控制列表的反转掩码同样也可以通过与默认掩码(normal mask)255.255.255.255做减法来得出。例如:求一个网络地址为172.16.1.0,标准掩码255.255.255.0的反转掩码方法为:255.255.255.255-255.255.255.0(默认掩码)=0.0.0.255(反转掩码)
请注意访问控制列表一些等价的表示:
1、源地址/源通配符0.0.0.0/255.255.255.255意义等于“any”
2、源地址/通配符10.1.1.2/0.0.0.0意义等于“host 10.1.1.2”
小结访问控制列表
注意:子网掩码同样可以表示成一个固定长度的符号。比如,192.168.10.0/24也可以被表示成192.168.10.0 255.255.255.0
(二)下面来讲述如何才能够将不同的网络地址进行总结。想一想如果有下面一些网络地址:192.168.32.0/24;
192.168.33.0/24;
192.168.34.0/24;
192.168.35.0/24;
192.168.36.0/24;
192.168.37.0/24;
192.168.38.0/24;
192.168.39.0/24
    前两个八位数组和最后一个八位数组对于以上的每个网络地址都是相同的。下面是对如何将它们写成一个单独网络地址的解释。
    上面几个网络地址中的第三个八位数组可以根据这个八位数组的位置和数值写成如下的形式:
十进制        128        64        32        16        8        4        2        1
32        0        0        1        0        0        0        0        0
33        0        0        1        0        0        0        0        1
34        0        0        1        0        0        0        1        0
35        0        0        1        0        0        0        1        1
36        0        0        1        0        0        1        0        0
37        0        0        1        0        0        1        0        1
38        0        0        1        0        0        1        1        0
39        0        0        1        0        0        1        1        1
        M        M        M        M        M        D        D        D
    当前五比特被路由器察看的时候,以上的八个网络地址就可以被总结成一个网络地址(192.168.32/21或者192.168.32.0 255.255.248.0),后三比特所有可能的排列形式也都被与这一个网络地址联系起来。(因为这个被总结好的网络地址后三彼特的全排列就分别是这八个网络地址)下面的命令用来定义一个访问控制列表来允许这个网络流量。从255.255.255.255减去255.255.248.0(标准掩码)得0.0.7.255
access-list acl_permit permit ip 192.168.32.0 0.0.7.255
进一步的解释如何对网络地址进行总结,看一看下面的网络地址。
192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24
    前两个八位数组和最后一个八位数组对于以上四个网络地址都是一样的。以下是解释如何将它们进行总结。以上四个网络地址的第三个八位数组根据八位数组的位置和数值可以被写成如下的形式:
Decimal 128 64 32 16 8 4 2 1 
146       1  0  0 1  0 0 1 0 
147       1  0  0 1  0 0 1 1 
148       1  0  0 1  0 1 0 0 
149       1  0  0 1  0 1 0 1 
          M  M  M M  M ? ? ? 
    不像第一个例子一样,你不可能将这组网络地址总结成为一个单一的网络地址——你至少(也应该)将它们总结成为两个网络地址。上面的例子可以被总结成为如下两个网络地址。
1.对于网络地址192.168.146.x和192.168.147.x,除了最后一个以外的所有比特都是应该不被察看的。这样就可以写成:192.168.146.0/23(或者192.168.146.0 255.255.254.0)
2.对于网络192.168.148.x和192.168.149.x,除去最后一个比特以外的所有比特都应该是不被察看的。这样就可以写成:192.168.148.
### 回答1: IPv6地址掩码计算工具是一种帮助网络工程师计算IPv6地址掩码的实用工具。在IPv6中,地址掩码通常表示为CIDR的格式,也可以称为前缀长度。例如,掩码为64表示地址的前64位为网络地址,其余的为主机地址。因此,掩码能够帮助确定一个IPv6地址在网络中的位置。 使用IPv6地址掩码计算工具,用户只需要输入IPv6地址和相关的掩码长度,然后点击“计算”按钮,工具即可自动计算出对应的网络地址和广播地址。此外,该工具还可以显示主机地址范围,可用地址数量等信息,可以非常方便地帮助网络工程师快速地了解网络拓扑结构。 利用IPv6地址掩码计算工具,网络工程师可以更加方便地进行IP地址规划和管理。特别是在大型企业和数据中心网络中,IPv6地址掩码计算工具非常有用,可以帮助管理员准确地分配地址和管理网络。由于IPv6地址长度远远大于IPv4地址长度,因此IPv6地址掩码计算工具成为了网络工程师必备的工具之一。 ### 回答2: IPv6地址是由128位二进制数组成的,这意味着它比IPv4地址需要更大的空间。IPv6地址掩码计算工具可以帮助人们计算掩码,并且使人们能够更好地理解IPv6地址。 IPv6掩码是128位比特的一串二进制数字,用于指定网络标识和主机标识的位置。这个掩码可以根据所需的网络大小进行调整,从而确保该网络有足够的IP地址可用。 IPv6地址掩码计算工具可以帮助人们快速计算出正确的掩码,并且还可以提供一些有用的信息,例如网络前缀、主机标识和子网地址等。 在使用IPv6地址掩码计算工具时,用户需要注意以下几点: 1. 输入正确的IPv6地址:在使用掩码计算工具时,首先要输入IPv6地址,确保输入的地址是正确的,否则计算就会出错。 2. 选择正确的掩码长度:掩码长度是指该掩码将网络标识和主机标识分开的位置。掩码长度越长,可用的主机数就越少。 3. 理解二进制计算:IPv6地址和掩码都是由二进制数字组成的,因此,使用掩码计算工具时需要熟悉如何进行二进制计算。 总的来说,IPv6地址掩码计算工具是一个非常有用的工具,它可以帮助人们更好地理解IPv6地址和掩码的概念,并且支持人们更好地计算IP地址和掩码,从而更好地设计IPv6网络。 ### 回答3: ipv6地址掩码计算工具是一个在线工具,可以帮助用户计算任意IPv6地址的子网掩码及CIDR表示,同时可以对IPv6地址和子网掩码进行二进制转换和反转,帮助用户更方便地理解IPv6地址掩码。 使用IPv6地址掩码计算工具需要输入IPv6地址以及所需的子网掩码前缀长度,工具会自动计算出子网掩码和CIDR表示。用户也可以通过工具内置的二进制转换器将IPv6地址和子网掩码转换成二进制格式,以更加深入地了解IPv6地址掩码的原理。 IPv6地址掩码计算工具在IPv6地址规划和网络工程中具有重要的应用价值。它可以帮助用户对IPv6地址进行精细划分,使得网络的管理更加灵活和高效。同时,掌握IPv6地址掩码计算工具也是网络工程师必备的技能之一。 总之,IPv6地址掩码计算工具是一个实用性很高的在线工具,可以帮助用户更加方便地计算IPv6地址的子网掩码及CIDR表示,并加深对IPv6网络的理解和掌握。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值