Chinaunix首页 | 论坛 | 博客

w787815的ChinaUnix博客

首页 |  博文目录 |  关于我

w787815

  • 博客访问: 381440
  • 博文数量: 114
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1219
  • 用 户 组: 普通用户
  • 注册时间: 2015-02-07 21:23
文章分类

全部博文(114)

文章存档

2018年(1)

2017年(5)

2016年(87)

2015年(21)

我的朋友
最近访客
推荐博文
相关博文
ACL中通配符

分类: 系统运维

2016-01-11 21:24:37


  1. ACL中通配符(wildcard mask、反掩码)
  2. (本人注:其实不只ACL里,OSPF、EIGRP等都会用到wildcard mask,都一样算法)
  3. 再注:本文转自 (转载网络伤寒),至于这个(转载网络伤寒)是哪,,,找不到链接,只好对不起原作者了。
  4. ----------------------------------------
  5. 学习ACL,搞懂ACL就不能不搞定wildcard mask,通配符掩码。说简单点,通配符掩码就是0为绝对匹配,必须严格匹配才行,而1为任意。从某种意义上讲,如果一个8位上有一个1字符,那也只有两种方式,0或者1,但是如果进行组合,那么方式就多了。
  6. 举例说明吧。
  7. 一般我们在应用上都是进行地址块的匹配,怎么讲呢?就是说:
  8. 1)对某个A B C类网进行匹配或者教通配符屏蔽
  9. 2)对某个子网应用ACL。
  10. 3)对特定主机应用ACL
  11. 4)对任意主机或者网络应用ACL
  12. 5)特殊情况的匹配(这一点正是我转载的原因)

  14. 差不多就是以上五种情况,下面一一说明。
  15. 1)对某个有类网络进行ACL的通配符屏蔽。
  16. 这种情况很好解释。
  17. 例如:A类:10.0.0.0 0.255.255.255
  18. 先写成二进制形式: 00001010.00000000.00000000.00000000

  20. 00000000.11111111.111111111.11111111
  21. 可以看出,第一个字节需要严格匹配,也就是说必须为10.,后面的任意匹配。
  22. 得到的网络为10.*.*.*
  23. 如果我把这个改一下呢?10.0.0.0 0.0.3.255
  24. 同样写成二进制形式:00001010.00000000.00000000.00000000

  26. 00000000.00000000.00000011.111111111
  27. 前两个字节严格匹配为10.0,后面的同上题一个思路,0就严格匹配,1就任意。
  28. 在这里,后10个比特可以任意匹配,我们通过计算可以得到合适的结果:
  29. 10.0.0.*
  30. 10.0.1.*
  31. 10.0.2.*
  32. 10.0.3.*
  33. 这四个子网

  35. 2)
  36. 对某个子网应用ACL
  37. 还是举例说明,以C类网络192..168.1.0/24为例进行子网划分。
  38. 我们引入地址块的思想进行解释会好理解一些。因为子网一般都是以地址块形式存在的。
  39. 地址块为128,192.168.1.128 0.0.0.127
  40. 地址块为64,192.168.1.0 0.0.0.63
  41. 地址块为32,192.168.1.0 0.0.0.31
  42. 地址块为16,192.168.1.0 0.0.0.15
  43. 地址块为8,192.168.1.0 0.0.0.7
  44. 地址块为4,192.168.1.0 0.0.0.3
  45. 地址块为2,192.168.1.0 0.0.0.1

  47. 3)对特定主机应用ACL
  48. 通配符需要全匹配,例如:182.168.12.4 0.0.0.0
  49. 还有一种表示方法:host 182.168.12.4
  50. Host在这里是关键字,用来代替0.0.0.0 ,用于源地址和目的地址字段。

  52. 4)对任意主机或者网络应用ACL
  53. 这是任意匹配的情况,主机任意,通配符任意匹配:0.0.0.0 255.255.255.255,同时这里也有简写——any

  55. 5)比较特殊的情况。
  56. 用我的话说这种情况是不按规则出牌的情况,也是比较有趣的。
  57. 我不想让某个子网或者是某个有类网被通配符屏蔽,我仅仅是想让部分主机被屏蔽,不过这部分主机也应该是有规律的,要不管理人员肯定得折腾疯。哈哈。
  58. 仅举两例以供说明:
  59. 随便写一个,计算出屏蔽了哪些网络。
  60. 随便写一个 192.168.1.23 0.0.0.5
  61. 怎么?傻眼了?这就是不按规则出牌的情况,CCNA自学指南里面肯定说了,不能从11.0或者12.0等网络开始,非得是2的次幂才行。对此规矩我们不予理睬,还是使用最为原始的办法进行一个一个匹配。
  62. 写成二进制形式:11000000.10101000.00000001.00010111

  64. 00000000.00000000.00000000.00000101
  65. 接下来就是匹配计算了。前三个字节毫无疑问,严格匹配。最后一个字节逢0匹配,逢1任意。
  66. 00010111

  68. 00000101
  69.                                                                              
  70. 00010*1*
  71.    如上的公式,我们看到有星号的位置是可以任意匹配的,这样我们就可以算出:
  72. 00010010——18

  74. 00010011——19

  76. 00010110——21

  78. 00010111——23

  80. 这样就很明显了,得到的结果就是192.168.1.18
  81. 192.68.1.19
  82. 192.168.1.21
  83. 192.168.1.23 都被0.0.0.5这个通配符掩码给屏蔽了。
  84.    怎样,这个不按规则出牌的通配符掩码是不是也愚弄了你一次?

  86. 备注:只要严格按照0——严格匹配,1——任意配置的原则不管什么反掩码都是纸老虎。

  88. 写第二个,我需要匹配一个网络里面奇数IP的主机或者偶数IP的主机(或者的路由过滤中需要奇数网络)
  89. 还是看例子:
  90. 192.168.1.1
  91. 192.168.1.2
  92. 192.168.1.3
  93. 192.168.1.4
  94. 192.168.1.5
  95. 192168.1.6
  96. 192.168.1.7
  97. 192.168.1.9
  98. ……………
  99. 192.168.1.254

  101. 思路都是一样的,条条道路通罗马,这里条条道路通配符
  102. 我还是要写成二进制形式
  103. 前面的三个字节就省略了,只写后面的一个字节的:
  104. 00000001
  105. 00000010
  106. 00000011
  107. 00000100
  108. 00000101
  109. 00000110
  110. 00000111
  111. …………
  112. 看出规律了么? 什么?没有啊,仔细瞧瞧么!奇数IP的最后一位都是1,而偶数IP的最后一位都是0。这就是规律啊。
  113. 那么怎么写呢?这个就比较简单了吧,奇数IP的:192.168.1.1 0.0.0.254 ;偶数IP的呢——192.168.1.2 0.0.0.254

  115. 如上就是我对ACL的理解,有说错的,做错的,还望大家指正,所谓三人行必有我师,你有什么更好的办法别忘记跟帖。

  117. ACL主要难点是在通配符的计算,如有这么一道题:
  118. 已知子网,求通配符掩码。
  119. 例:允许199.172.5.0/24
  120. 199.172.10.0/24
  121. 199.172.13.0/24
  122. 199.172.14.0/24网段访问路由器。要求写出ACL来,但只能用两条ACL代替。
  123. 1.
  124. 先将这四个数换成二进制:
  125. 5.0
  126. -------
  127. 0 1 0 1
  128. 10.0
  129. -----
  130. 1 0 1 0
  131. 13.0
  132. -----
  133. 1 1 0 1
  134. 14.0
  135. -----
  136. 1 1 1 0
  137. 观察可以看到5.0和13.0
  138. 10.0和14.0有共同点。
  139. 2.
  140. 将不相同的部分用Z表示
  141. 5.0和13.0
  142. ----------
  143. Z 1 0 1
  144. 10.0和14.0
  145. --------
  146. 1 Z 1 0
  147. 3.
  148. 将Z换成1,数字换成0。可以得出:
  149. 5.0和13.0
  150. ----------
  151. Z 1 0 1
  152. ------------ 1 0 0 0
  153. 10.0和14.0
  154. --------
  155. 1 Z 1 0
  156. ------------ 0 1 0 0
  157. 4.
  158. 最后将二进制换成十进制:
  159. 5.0和13.0
  160. ----------
  161. Z 1 0 1
  162. ------------ 1 0 0 0
  163. -------- 8
  164. 10.0和14.0
  165. --------
  166. 1 Z 1 0
  167. ------------ 0 1 0 0
  168. -------- 4

  170. 最后得出:
  171. access-list 10 permit 199.172.5.0 0.0.8.0
  172. access-list 11 permit 199.172.10.0 0.0.4.0
  173. --------------------
  174. 最后,留个偷懒的方法,有个反掩码计算器,直接输出IP、反掩码就能计算出对应IP范围。下载链接:
  175. http://down.51cto.com/data/313184
  176. 或者:http://download.csdn.net/detail/nightcats007/3975641
阅读(2360) | 评论(0) | 转发(0) |
1

上一篇:pix与cisco 插入acl

下一篇:nagios插件脚本check_linux_stats

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6