ACL通配符掩码

1、学习ACL,搞懂ACL就不能不搞定wildcardmask,通配符掩码。说简单点，通配符掩码就是0为绝对匹配，必须严格匹配才行，而1为任意，从某种意义上讲，如果一个8位上有一个1字符,那也只有两种方式,0或者1,但是如果进行组合,那么方式就多了。举例说明吧。一般我们在应用上都是进行地址块的匹配,怎么讲呢？就是说：1）对某个ABC类网进行匹配或者教通配符屏蔽2）对某个子网应用ACL。3）对特定主机应用ACL4）对任意主机或者网络应用ACL5）特殊情况的匹配差不多就是以上五种情况,下面一一说明。1）对某个有类网络进行ACL的通配符屏蔽。这种情况很好解释。例如：A类：10.0.0.00.255.25

2、5.255先写成二进制形式：00001010.00000000.00000000.0000000000000000.11111111.111111111.11111111可以看出,第一个字节需要严格匹配,也就是说必须为10.,后面的任意匹配。得到的网络为10.*.*.*如果我把这个改一下呢？10.0.0.00.0.3.255同样写成二进制形式：00001010.00000000.00000000.0000000000000000.00000000.00000011.111111111前两个字节严格匹配为10.0,后面的同上题一个思路,0就严格匹配,1就任意。在这里,后10个比特可以任意匹配,我

3、们通过计算可以得到合适的结果：10.0.0.*10.0.1.*10.0.2.*10.0.3.*这四个子网2）对某个子网应用ACL还是举例说明，以C类网络192.168.1.0/24为例进行子网划分。我们引入地址块的思想进行解释会好理解一些。因为子网一般都是以地址块形式存在的。地址块为128，192.168.1.1280.0.0.127地址块为64，192.168.1.00.0.0.63地址块为32，192.168.1.00.0.0.31地址块为16，192.168.1.00.0.0.15地址块为8，192.168.1.00.0.0.7地址块为4，192.168.1.00.0.0.3地址块为2，

4、192.168.1.00.0.0.13）对特定主机应用ACL通配符需要全匹配，例如：182.168.12.40.0.0.0还有一种表示方法：host182.168.12.4Host在这里是关键字，用来代替0.0.0.0，用于源地址和目的地址字段。4）对任意主机或者网络应用ACL这是任意匹配的情况，主机任意，通配符任意匹配：0.0.0.0255.255.255.255，同时这里也有简写any5）比较特殊的情况。用我的话说这种情况是不按规则出牌的情况，也是比较有趣的。我不想让某个子网或者是某个有类网被通配符屏蔽，我仅仅是想让部分主机被屏蔽，不过这部分主机也应该是有规律的，要不管理人员肯定得折腾疯。

5、哈哈。仅举两例以供说明：随便写一个，计算出屏蔽了哪些网络。随便写一个192.168.1.230.0.0.5怎么？傻眼了？这就是不按规则出牌的情况，CCNA自学指南里面肯定说了，不能从11.0或者12.0等网络开始，非得是2的次幂才行。对此规矩我们不予理睬，还是使用最为原始的办法进行一个一个匹配。写成二进制形式：11000000.10101000.00000001.0001011100000000.00000000.00000000.00000101接下来就是匹配计算了。前三个字节毫无疑问，严格匹配。最后一个字节逢0匹配，逢1任意。000101110000010100010*1*如上的公式，我们

6、看到有星号的位置是可以任意匹配的，这样我们就可以算出：TOC o 1-5 h z0001001018000100111900010110210001011123这样就很明显了，得到的结果就是192.168.1.18192.68.1.19192.168.1.21192.168.1.23都被0.0.0.5这个通配符掩码给屏蔽了。怎样，这个不按规则出牌的通配符掩码是不是也愚弄了你一次？备注：只要严格按照0严格匹配，1任意配置的原则不管什么反掩码都是纸老虎。写第二个，我需要匹配一个网络里面奇数IP的主机或者偶数IP的主机（或者的路由过滤中需要奇数网络）还是看例子：192.168.1.1192.168.

7、1.2192.168.1.3192.168.1.4192.168.1.5192168.1.6192.168.1.7192.168.1.9192.168.1.254思路都是一样的，条条道路通罗马，这里条条道路通配符我还是要写成二进制形式前面的三个字节就省略了，只写后面的一个字节的：00000001000000100000001100000100000001010000011000000111看出规律了么？什么？没有啊，仔细瞧瞧么！奇数IP的最后一位都是1,而偶数IP的最后一位都是0。这就是规律啊。那么怎么写呢？这个就比较简单了吧，奇数IP的：192.168.1.10.0.0.254；偶数IP的呢

8、192.168.1.20.0.0.254如上就是我对ACL的理解，有说错的，做错的，还望大家指正，所谓三人行必有我师，你有什么更好的办法别忘记跟帖。ACL主要难点是在通配符的计算，如有这么一道题：已知子网，求通配符掩码。例：允许199.172.5.0/24199.172.10.0/24199.172.13.0/24199.172.14.0/24网段访问路由器。要求写出ACL来，但只能用两条ACL代替。1.先将这四个数换成二进制：5.0010110.0101013.0110114.01110观察可以看到5.0和13.010.0和14.0有共同点。2.将不相同的部分用Z表示5.0和13.0Z10110.0和14.01Z103.将Z换成1，数字换成0。可以得出5.0和13.0Z101100010.0和14.01Z10010