码迷,mamicode.com
首页 > 其他好文 > 详细

思科ACL通配符掩码的计算

时间:2015-08-21 17:20:20      阅读:157      评论:0      收藏:0      [点我收藏+]

标签:ip地址   acl   通配符   通配符掩码   

    前天在帮客户梳理nat转换时,发现一个有趣的配置,发上来供大家学习。

access-list 120 permit ip 10.0.0.0 0.0.0.191 any

    这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255.255.255.0)/0.0.255.255(255.255.0.0)/0.0.0.127(255.255.255.128)等等,那这个0.0.0.191又是什么鬼?

    要知道0.0.0.191匹配到了什么地址,这就要从通配符掩码说起,在ACL语句中,当使用地址作为条件时,地址后面跟的都是通配符掩码,通配符掩码决定了地址中哪些位是需要精确匹配,哪些位不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写,匹配时,“0”表示检查的位、“1”表示不检查的位。

    由此我们可以先进行通配符的二进制转换,由此可以看出这个通配符必须匹配1-24位和26位。

0.0.0.191--》0000 0000.0000 0000.0000 0000.1011 1111

    而IP地址由于是10.0.0.0,所以二进制就是:

10.0.0.0---》0000 1010.0000 0000.0000 0000.0000 0000

    由此我们可以看出,通配符必须匹配以下标红位数

0000 1010.0000 0000.0000 0000.0000 0000

    而不标红位数第一个0可以有两种可能0/1,当第25位为0时,后六位的范围是000000-111111

0000 1010.0000 0000.0000 0000.0000 0000=10.0.0.0

0000 1010.0000 0000.0000 0000.0011 1111=10.0.0.63

    当第25位为1时,后六位的范围是000000-111111

0000 1010.0000 0000.0000 0000.1000 0000=10.0.0.128

0000 1010.0000 0000.0000 0000.1011 1111=10.0.0.191

    所以,10.0.0.0 0.0.0.191匹配了两个网段的IP地址,分别是10.0.0.0-10.0.0.63和10.0.0.128-10.0.0.191。


本文出自 “菠萝味咖啡的领地” 博客,请务必保留此出处http://ccies.blog.51cto.com/717209/1686866

思科ACL通配符掩码的计算

标签:ip地址   acl   通配符   通配符掩码   

原文地址:http://ccies.blog.51cto.com/717209/1686866

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!