Wildcard Mask

ACL koncept      |     Att skapa ACL


Föregående avsnitt beskrev syftet med ACL. Här förklaras hur ACL använder wildcard-masker, som är 32-bitars värden i Access Control Entries (ACE) för att avgöra vilka delar av en IP-adress som ska matchas. Wildcard-masker används även i OSPF.

Wildcard-masker liknar nätmasker genom att använda en AND-process för att identifiera relevanta bitar i en IPv4-adress. Skillnaden ligger i tolkningen av binära värden:

  • Nätmask: 1 = matcha biten, 0 = ignorera.
  • Wildcard-mask: 1 = ignorera biten, 0 = matcha.

Tabellen listar några exempel på wild mask och vad de skulle identifiera.

Wildcard Mask Sista oktet (binärt) Betydelse (0 = match, 1 = ignorera)
0.0.0.0 00000000 Matchar alla oktett
0.0.0.63 0011 1111
  • Matchar de första tre oktetterna
  • Matchar de två vänstra bitarna i den sista oktetten
  • ignorerar de sista sex bitarna
0.0.0.15 0000 1111
  • Matchar de första tre oktetterna
  • Matchar de fyra vänstra bitarna i den sista oktetten
  • Ignorerar de fyra sista bitarna i den sista oktetten
0.0.0.252 11111100
  • Matchar de första tre oktetterna
  • Ignorerar de sex vänstra bitarna i den sista oktetten
  • Matchar de sista två bitar
0.0.0.255 11111111
  • Matchar de första tre oktetterna
  • Ignorerar den sista oktetten

Typer av wildcard masker

Wildcard masker används för att filtrera trafik för en enskild enhet, ett delnät eller en serie IPv4-adresser.

Wildcard mask för en specfik enhet

Om en ACL ska tillåta endast en specifik IP-adress, används wildcard-masken 0.0.0.0, där:

  • 0 innebär exakt matchning.
  • 1 innebär att biten ignoreras.

Exempel:

ACL 10 ska endast tillåta datorn med IPv4-adress 192.168.1.1, då passar bra wildcard-masken 0.0.0.0 för att match enbart denna IP-adress. Den resulterande ACL-regeln blir:

access-list 10 permit 192.168.1.1 0.0.0.0

Wildcard-mask för ett IPv4 delnät

I detta exempel ska ACL 10 tillåta alla enheter i delnätet 192.168.1.0/24. Wildcard-masken 0.0.0.255 passar bra att använda vilken innebär att:

  • De första tre oktetterna måste matcha exakt (192.168.1)
  • Den fjärde oktetten ignoreras, vilket tillåter alla adresser från 192.168.1.1 till 192.168.1.254

Den resulterande ACL-regeln blir:

access-list 10 permit 192.168.1.0 0.0.0.255

Wildcard-mask för ett IPv4 adressintervall

I detta exempel ska ACL 10 tillåta alla enheter i nätverken från 192.168.16.0 till 192.168.31.0/24. För att matcha detta intervall används wildcard-masken 0.0.15.255, vilket innebär att:

  • De första två oktetterna (192.168) måste matcha exakt.
  • De tredje oktettens första fyra bitar (0001xxxx) kan variera mellan 16 och 31.
  • Den fjärde oktetten ignoreras, vilket tillåter alla adresser inom varje delnät.

Exempel på adresser inom intervallet:

  • 192.168.16.0 eller 11000000.10101000. 0001 0000. 00000000
  • 192.168.17.0 eller 11000000.10101000. 0001 0001. 00000000
  • . . . . . . .
  • 192.168.30.0 eller 11000000.10101000. 0001 1110. 00000000
  • 192.168.31.0 eller 11000000.10101000. 0001 1111. 00000000

Wildcard-masken 0.0.15.255 matchar alla adresser från 192.168.16.0 till 192.168.31.255, därför den resulterande ACL-regeln blir:

access-list 10 permit 192.168.16.0 0.0.15.255

Beräkning av wildcard mask

Wildcard-masken kan beräknas genom att subtrahera nätmasken från 255.255.255.255

Exempel:

För nätverket 192.168.10.0/24 med nätmasken 255.255.255.0, beräknas wildcard-masken så här:

Startvärde      255.255.255.255
Dra av nätmasken –  255.255.255.    0
Resulterande wildcard mask 0  . 0  .  0  .255

Förenklad wildcard-hantering

Cisco IOS erbjuder två nyckelord för enklare ACL-konfiguration:

  • host – Ersätter wildcard-masken 0.0.0.0 och matchar en exakt IPv-4 adress.
  • any – Ersätter wildcard-masken 255.255.255.255 och matchar alla IPv4 adresser.

Exempel på ACL-konfiguration:

R1(config)# access-list 10 permit 192.168.10.10 0.0.0.0
R1(config)# access-list 11 permit 0.0.0.0 255.255.255.255

Samma regler kan skrivas mer koncist med nyckelorden host och any:

R1(config)# access-list 10 permit host 192.168.10.10
R1(config)# access-list 11 permit any

ACL koncept      |     Att skapa ACL