ACL和反掩码.docVIP

ACL和反掩码 学习ACL，搞懂ACL就不能不搞定wildcard mask，通配符掩码。说简单点，通配符掩码就是0为绝对匹配，必须严格匹配才行，而1为任意，从某种意义上讲，如果一个8位上有一个1字符，那也只有两种方式，0或者1，但是如果进行组合，那么方式就多了。 举例说明吧。 一般我们在应用上都是进行地址块的匹配，怎么讲呢？就是说： 1）对某个A B C类网进行匹配或者教通配符屏蔽 2）对某个子网应用ACL。 3）对特定主机应用ACL 4）对任意主机或者网络应用ACL 5）特殊情况的匹配 差不多就是以上五种情况，下面一一说明。 1）对某个有类网络进行ACL的通配符屏蔽。 这种情况很好解释。 例如：A类：10.0.0.0 0.255.255.255 先写成二进制形式：000000000000000011111111.111111111可以看出，第一个字节需要严格匹配，也就是说必须为10.，后面的任意匹配。 得到的网络为10.*.*.* 如果我把这个改一下呢？10.0.0.0 0.0.3.255 同样写成二进制形式000000000000000000000000111111111 前两个字节严格匹配为10.0，后面的同上题一个思路，0就严格匹配，1就任意。 在这里，后10个比特可以任意匹配，我们通过计算可以得到合适的结果： 10.0.0.* 10.0.1.* 10.0.2.* 10.0.3.* 这四个子网 2） 对某个子网应用ACL 还是举例说明，以C类网络192..168.1.0/24为例进行子网划分。 我们引入地址块的思想进行解释会好理解一些。因为子网一般都是以地址块形式存在的。 ?地址块为128，192.168.1.128 0.0.0.127 ?地址块为64，192.168.1.0 0.0.0.63 ?地址块为32，192.168.1.0 0.0.0.31 ?地址块为16，192.168.1.0 0.0.0.15 ?地址块为8，192.168.1.0 0.0.0.7 ?地址块为4，192.168.1.0 0.0.0.3 ?地址块为2，192.168.1.0 0.0.0.1 3）对特定主机应用ACL 通配符需要全匹配，例如：182.168.12.4 0.0.0.0 还有一种表示方法：host 182.168.12.4 Host在这里是关键字，用来代替0.0.0.0 ，用于源地址和目的地址字段。 4）对任意主机或者网络应用ACL 这是任意匹配的情况，主机任意，通配符任意匹配：0.0.0.0 255.255.255.255，同时这里也有简写——any 5）比较特殊的情况。 用我的话说这种情况是不按规则出牌的情况，也是比较有趣的。 我不想让某个子网或者是某个有类网被通配符屏蔽，我仅仅是想让部分主机被屏蔽，不过这部分主机也应该是有规律的，要不管理人员肯定得折腾疯。哈哈。 仅举两例以供说明： ?随便写一个，计算出屏蔽了哪些网络。 随便写一个 192.168.1.23 0.0.0.5 怎么？傻眼了？这就是不按规则出牌的情况，CCNA自学指南里面肯定说了，不能从11.0或者12.0等网络开始，非得是2的次幂才行。对此规矩我们不予理睬，还是使用最为原始的办法进行一个一个匹配。 写成二进制形式10101000000101110000000000000101 接下来就是匹配计算了。前三个字节毫无疑问，严格匹配。最后一个字节逢0匹配，逢1任意。00000101 00010*1* 如上的公式，我们看到有星号的位置是可以任意匹配的，这样我们就可以算出： —18 —19 —21 —23 这样就很明显了，得到的结果就是192.168.1.18 192.68.1.19 192.168.1.21 192.168.1.23 都被0.0.0.5这个通配符掩码给屏蔽了。 怎样，这个不按规则出牌的通配符掩码是不是也愚弄了你一次？ 备注：只要严格按照0——严格匹配，1——任意配置的原则不管什么反掩码都是纸老虎。