ACL通配符,子網掩碼,反掩碼區別和計算方式

ACL通配符,子網掩碼,反掩碼區別和計算方式

192.168.1.1br/>255.255.255.0
掩碼:1111111111111111000000000
@左邊永遠是1,右邊永遠是0
@1 和 0 ,永遠不會交叉出現
@關注“掩碼”中1所對應的位;

反掩碼:br/>@左邊永遠是0,右邊永遠是1
@1 和 0 ,永遠不會交叉出現
@關注“掩碼”中0所對應的位;

通配符:(wildcard bits)
@關注“通配符”中0所對應的位;

如何寫ACL:
rule {id} permit/deny source [x.x.x.x] 【通配符】
x.x.x.x ,表示的是你想抓取的通信流量的 公共部分
記住:在寫公共部分的時候的原則是:
相同的位,直接寫
不同的位,變成0

奇數偶數:10.1.1.0
奇數
1 0000 0001
3 0000 0011
5 0000 0101
7 0000 0111
9 0000 1001
偶數
2 0000 0010
4 0000 0100
6 0000 0110
8 0000 1000
10 0000 1010

奇數IP的最後一位都是1,而偶數IP的最後一位都是0。這就是規律。
奇數時候0001這個不變,source ip指的是起始ip,起始時10.1.1.1 通配符最後1111 1110【看的是0是不變的】
同理偶數0010這個不變,source ip指的是起始ip,起始是10.1.1.2不是10.1.11,通配符最後 1111 1110 十進制254
奇數IP的:10.1.1.1 0.0.0.254 ;偶數IP的呢——10.1.1.2 0.0.0.254

通配符
規則命令允許匹配以下數據流量
192.168.1.1
0.0.0.0000 0001
192.168.1.3
0.0.0.0000 0011
192.168.1.5
0.0.0.0000 0101
192.168.1.7
0.0.0.0000 0111
0.0.0.0000 0zz0
0.0.0.0000 0110
0.0.0.6
rule 10 permit source 192.168.1.1 0.0.0.6

ACL主要難點是在通配符的計算,如有這麼一道題:
已知主機ip,求通配符。
例:允許
192.168.1.5/24
192.168.1.10/24
192.168.1.13/24
192.168.1.14/24主機訪問路由器。要求寫出ACL來,但只能用兩條ACL代替。

1.先將這四個數換成二進制:
192.168.1.5
0.0.0. 0000 0101(5)

0 1 0 1
192.168.1.10
0.0.0. 0000 1010(10)

1 0 1 0

192.168.1.10
0.0.0. 0000 1101(13)

1 1 0 1
192.168.1.14
0.0.0. 0000 1110(14)

1 1 1 0

0101(5)
1010(10)
1101(13)
1110(14)

找相同部分
用兩條命令來匹配
1.我們可以看到規律
5和13
0101(5)
1101(13)
相同爲比較多隻有第一個不同 不同我們要用“1”表示
1000十進制表達是8
那麼我們通過這兩個ip的acl可以這樣寫
192.168.1.0000 0101
0.0.0. 0000 1000
rule 10 permit source 192.168.1.5 0.0.0.8

2.我們可以看到規律
10和14
1010(10)
1110(14)
相同爲比較多隻有第一個不同 不同我們要用“1”表示
0100十進制表達是4
那麼我們通過這兩個ip的acl可以這樣寫
192.168.1.0000 1010
0.0.0. 0000 0100
rule 20 permit source 192.168.1.10 0.0.0.4

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章