ACL通配符,子网掩码,反掩码区别和计算方式

192.168.1.1 255.255.255.0 掩码:1111111111111111000000000 @左边永远是1,右边永远是0 @1 和 0 ,永远不会交叉出现 @关注“掩码”中1所对应的位;

反掩码: @左边永远是0,右边永远是1 @1 和 0 ,永远不会交叉出现 @关注“掩码”中0所对应的位;

通配符:(wildcard bits) @关注“通配符”中0所对应的位;

如何写ACL: rule {id} permit/deny source [x.x.x.x] 【通配符】 x.x.x.x ,表示的是你想抓取的通信流量的 公共部分 记住:在写公共部分的时候的原则是: 相同的位,直接写 不同的位,变成0

奇数偶数:10.1.1.0 奇数 1 0000 0001 3 0000 0011 5 0000 0101 7 0000 0111 9 0000 1001 偶数 2 0000 0010 4 0000 0100 6 0000 0110 8 0000 1000 10 0000 1010

奇数IP的最后一位都是1,而偶数IP的最后一位都是0。这就是规律。 奇数时候0001这个不变,source ip指的是起始ip,起始时10.1.1.1 通配符最后1111 1110【看的是0是不变的】 同理偶数0010这个不变,source ip指的是起始ip,起始是10.1.1.2不是10.1.11,通配符最后 1111 1110 十进制254 奇数IP的:10.1.1.1 0.0.0.254 ;偶数IP的呢——10.1.1.2 0.0.0.254

通配符 规则命令允许匹配以下数据流量 192.168.1.1 0.0.0.0000 0001 192.168.1.3 0.0.0.0000 0011 192.168.1.5 0.0.0.0000 0101 192.168.1.7 0.0.0.0000 0111 0.0.0.0000 0zz0 0.0.0.0000 0110 0.0.0.6 rule 10 permit source 192.168.1.1 0.0.0.6

ACL主要难点是在通配符的计算,如有这么一道题: 已知主机ip,求通配符。 例:允许 192.168.1.5/24 192.168.1.10/24 192.168.1.13/24 192.168.1.14/24主机访问路由器。要求写出ACL来,但只能用两条ACL代替。

1.先将这四个数换成二进制: 192.168.1.5 0.0.0. 0000 0101(5)

0 1 0 1 192.168.1.10 0.0.0. 0000 1010(10)

1 0 1 0

192.168.1.10 0.0.0. 0000 1101(13)

1 1 0 1 192.168.1.14 0.0.0. 0000 1110(14)

1 1 1 0

0101(5) 1010(10) 1101(13) 1110(14)

找相同部分 用两条命令来匹配 1.我们可以看到规律 5和13 0101(5) 1101(13) 相同为比较多只有第一个不同 不同我们要用“1”表示 1000十进制表达是8 那么我们通过这两个ip的acl可以这样写 192.168.1.0000 0101 0.0.0. 0000 1000 rule 10 permit source 192.168.1.5 0.0.0.8

2.我们可以看到规律 10和14 1010(10) 1110(14) 相同为比较多只有第一个不同 不同我们要用“1”表示 0100十进制表达是4 那么我们通过这两个ip的acl可以这样写 192.168.1.0000 1010 0.0.0. 0000 0100 rule 20 permit source 192.168.1.10 0.0.0.4