在路由器里我們經常使用access-list來做些地址過濾,達到某些安全策略的目的,一般常用的方法是對某個地址段進行permit或者deny,
access-list permit 1 192.168.1.0 .3
access-list permit 1 192.168.1.16 .15
初學者對於wildcard mask的定義可能不是非常清晰,都會認為在ACL中的wildcard mask只能使用網絡中已使用的地址段的子網掩碼的反掩碼來作為ACL的wildcard mask,
例一:某網絡上存在一IP地址段192.168.1.0/29,如果是要允許這個網段所有的機子上網就可以用access-list permit 1 192.168.1.0 .7來做策略,但是如果要求只允許網絡內192.168.1.1、192.168.1.5這兩個地址上網的話,我們通常會這樣寫ACL:
Access-list permit 1 192.168.1.1 .0
Access-list permit 1 192.168.1.5 .0
Access-list deny any any
ACL中的wildcard mask由32個0和1組成,如果該位為0那么被匹配的地址的對應位就必需與ACL中的地址對應位匹配,
被匹配地址: 192.168.1.1 1100 0000.1010 1000.0000 0001.0000 0001
Wildcard mask: .7 0000 0000.0000 0000.0000 0000.0000 0111
ACL中的地址: 192.168.1.0 1100 0000.1010 1000.0000 0001.0000 0000
紅色粗體部分就是被匹配地址與ACL中的地址需要完全匹配的部分,因為wildcard mask的前29位為0,而后三位為1,所以被匹配地址的后三位被忽略,也就是所謂的don’t care,因此后三位可以是0和1的任意組合
Access-list permit 1 192.168.1.1 .4(192.168.1.1為ACL的匹配條件地址)
ACL的wildcard mask定義,.4中只有第30位為1,所以與該位的匹配可以忽略(藍色部分);而其它位必需與ACL中的條件匹配地址192.168.1.1的對應位相同,因此我們看上面紅色字體,條件地址的末兩位是01,和條件地址末兩位相同的只有地址192.168.1.1、192.168.1.5,也就是說在地址段192.168.1.0/29中,只有1和5這兩個地址能夠通過ACL匹配。
我們上面例1中的ACL:
Access-list permit 1 192.168.1.1 .0
Access-list permit 1 192.168.1.5 .0
Access-list deny any any
可以寫為:
Access-list permit 1 192.168.1.1 .4
通過以上例子,我們看出ACL中的wildcard mask和在動態路由協議里的反碼是不同定義的