思科ACL通配符掩码的计算

前天在帮客户梳理nat转换时,发现一个有趣的配置,发上来供大家学习。

access-list 120 permit ip 10.0.0.0 0.0.0.191 any

这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255.255.255.0)/0.0.255.255(255.255.0.0)/0.0.0.127(255.255.255.128)等等,那这个0.0.0.191又是什么鬼?

要知道0.0.0.191匹配到了什么地址,这就要从通配符掩码说起,在ACL语句中,当使用地址作为条件时,地址后面跟的都是通配符掩码,通配符掩码决定了地址中哪些位是需要精确匹配,哪些位不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写,匹配时,“0”表示检查的位、“1”表示不检查的位。

由此我们可以先进行通配符的二进制转换,由此可以看出这个通配符必须匹配1-24位和26位。

0.0.0.191--》0000 0000.0000 0000.0000 0000.1011 1111

而IP地址由于是10.0.0.0,所以二进制就是:

10.0.0.0---》0000 1010.0000 0000.0000 0000.0000 0000

由此我们可以看出,通配符必须匹配以下标红位数

0000 1010.0000 0000.0000 0000.0000 0000

而不标红位数第一个0可以有两种可能0/1,当第25位为0时,后六位的范围是000000-111111

0000 1010.0000 0000.0000 0000.0000 0000=10.0.0.0

0000 1010.0000 0000.0000 0000.0011 1111=10.0.0.63

当第25位为1时,后六位的范围是000000-111111

0000 1010.0000 0000.0000 0000.1000 0000=10.0.0.128

0000 1010.0000 0000.0000 0000.1011 1111=10.0.0.191

所以,10.0.0.0 0.0.0.191匹配了两个网段的IP地址,分别是10.0.0.0-10.0.0.63和10.0.0.128-10.0.0.191。

时间: 2024-10-17 15:05:35

思科ACL通配符掩码的计算的相关文章

思科ACL不连续通配符掩码的计算

access-list 120 permit ip 10.0.0.0 0.0.0.191 any     这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255.255.255.0)/0.0.255.255(255.255.0.0)/0.0.0.127(255.255.255.128)等等,那这个0.0.0.191又是什么鬼?     要知道0.0.0.191匹配到了什么地址,这就要从通配符掩码说起,在ACL语句中,当使用地址作为条件时,地址后面跟的都是通配

思科路由器ACL通配符

192.168.1.20 - 192.168.1.50 范围的网络 一个连续的地址,通配符掩码的形式一定是: 11111111=255 01111111=127 00111111=63 00011111=31 00001111=15 00000111=7 00000011=3 00000001=1 对于范围20-50,一定要用access-list 1 per 192.168.1.0 0.0.0.63,然后再去头去尾 0-16能包含的最大块地址是16:access-list 1 deny 192

通配符掩码

       在访问控制列表中,通配符掩码来指定主机.特定网络或网络的一部分,首先要理解块大小,其用于指定地址范围        块大小包括128.64.32.16.8.4等,在需要指定地址范围时,可使用能满足需求的最小块大小,例如,要指定34台主机,则需要的最小块大小为64,要指定18台主机,则需要使用块大小32,如要指定2个主机,则使用块大小4就可以了.        要指定一台主机,可使用以下组合        172.16.30.5 0.0.0.0   (等价于 host 172.16.

思科ACL阻止勒索病毒

如何在思科的3700系列交换机上配置ACL阻止勒索病毒的传播? 勒索病毒主要是微软的锅,通过TCP/UDP的135.137.138.139.445端口攻陷用户的计算机加密用户的文件达到勒索比特币的目的,在企业内部特别是个人计算机居多的情况下更容易中招,为防止病毒大范围传播造成严重损失,可以通过在核心交换机上部署ACL实现控制这几个端口的访问达到防止的目的 试验场景:局域网内部两个网段172.28.27.0/24和172.28.28.0/24,其中27.0是office,28.0是server.现

思科 ACL

router(config)#ip access-list extend V1router(config-acl)#permit ip any host 192.167.0.2router(config-acl)#permit ip any host 192.167.0.3router(config-acl)#deny ip any anyrouter(config-acl)#ip access-list extend V3router(config-acl)#permit ip host 19

CCNA网络工程师学习进程(8)访问控制列表ACL

前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access Control List)是一系列运用到路由器接口的指令列表.这些指令告诉路由器如何接收和丢弃数据包,按照一定的规则进行,如源地址.目的地址和端口号等.路由器将根据ACL中指定的条件,对经过路由器端口的数据包进行检查,ACL可以基于所有的Routed Protocols(被路由协议)对经过路由器的数据

华为和思科对比ip-vlan-stp-路由

1.配置ip地址:接口视图:ip address ip地址 子网掩码(长度或255.255.255.255)思科需要no sh启用,华为不需使用undo sh启用,默认启用:查看ip:思科sh ip int b,华为display ip int b.2.vlan:1)创建vlan:思科:特权模式:vlan database -->vlan 编号1 编号2-->exit华为:系统试图:vlan batch 编号1 编号2 ... 2)查看vlan:思科:sh vlan b华为:display v

[Lab7]ACL

[Lab7]ACL 访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中 的信息如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的.ACL 分很多种,不同场合应用不同种类的ACL. 1. 标准ACL 标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或 1300-1999: 2. 扩展ACL 扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型. 源地址.目的

CCNP路由实验之十四 路由器的訪问控制ACL

?? ACL(Access Control List,訪问控制列表) 是路由器接口的指令列表,用来控制port进出的数据包.ACL适用于全部的路由协议,如IP.IPX.AppleTalk等.这张表中包括了匹配关系.条件和查询语句,表仅仅是一个框架结构.其目的是为了对某种訪问进行控制.訪问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源port.目的port等,依据预先定义好的规则对包进行过滤.从而达到訪问控制的目的,该技术初期仅在路由器上支持.如今已经支持三