前天在帮客户梳理nat转换时,发现一个有趣的配置,发上来供大家学习。
access-list 120 permit ip 10.0.0.0 0.0.0.191 any
这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255.255.255.0)/0.0.255.255(255.255.0.0)/0.0.0.127(255.255.255.128)等等,那这个0.0.0.191又是什么鬼?
要知道0.0.0.191匹配到了什么地址,这就要从通配符掩码说起,在ACL语句中,当使用地址作为条件时,地址后面跟的都是通配符掩码,通配符掩码决定了地址中哪些位是需要精确匹配,哪些位不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写,匹配时,“0”表示检查的位、“1”表示不检查的位。
由此我们可以先进行通配符的二进制转换,由此可以看出这个通配符必须匹配1-24位和26位。
0.0.0.191--》0000 0000.0000 0000.0000 0000.1011 1111
而IP地址由于是10.0.0.0,所以二进制就是:
10.0.0.0---》0000 1010.0000 0000.0000 0000.0000 0000
由此我们可以看出,通配符必须匹配以下标红位数
0000 1010.0000 0000.0000 0000.0000 0000
而不标红位数第一个0可以有两种可能0/1,当第25位为0时,后六位的范围是000000-111111
0000 1010.0000 0000.0000 0000.0000 0000=10.0.0.0
0000 1010.0000 0000.0000 0000.0011 1111=10.0.0.63
当第25位为1时,后六位的范围是000000-111111
0000 1010.0000 0000.0000 0000.1000 0000=10.0.0.128
0000 1010.0000 0000.0000 0000.1011 1111=10.0.0.191
所以,10.0.0.0 0.0.0.191匹配了两个网段的IP地址,分别是10.0.0.0-10.0.0.63和10.0.0.128-10.0.0.191。
本文出自 “菠萝味咖啡的领地” 博客,请务必保留此出处http://ccies.blog.51cto.com/717209/1686866
原文地址:http://ccies.blog.51cto.com/717209/1686866