ACL 通配符计算-精确匹配IP地址段

admin

ACL 通配符计算-匹配IP地址段

                              

假设拓扑中，192.168.200.240至192.168.200.254的地址为内部服务器预留地址，不可外网；那么如何通过计算在acl中配置。

1】  搞清楚掩码：

二进制：11111111.11111111.11111111.11110000  （28位二进掩码）

十进制：255.255.255.240    （12位十进掩码）

11110000中1111为网络位；0000为主机位；

计算可用地址：11110000=240    （主机位全0为网段本身）

11110001=241    （主机位可用）

              11110010=242    （主机位可用）

              11110011=243    （主机位可用）

              11110100=244    （主机位可用）

              11110101=245    （主机位可用）

              ……

              11111111=255    （主机位全1为广播地址）

从240至255一共为16个数值，去掉一个全0和一个全1；从241至254为主机可用地址！有14个可用IP。

地址引入192.168.200.240的网络中，可用的IP地址为：192.168.200.241~192.168.200.254。

2】  通配符：

通配符掩码值为：广播全1(二进制)地址减去 子网掩码二制制值，即：
11111111.11111111.11111111.11111111 - 11111111.11111111.11111111.11110000

结果如下：

二进制：00000000.00000000.00000000.00001111  

十进制：0.0.0.15

通配符掩码中，0表示要检查的位，1表示不需要检查的位。

3】  把通配符0.0.0.15匹配到192.168.200.240的网络中：

结果：192.168.200.241~192.168.200.255为匹配范围。

4】  利用ACL 2000配置需求：

Acl 2000

Step 20  //配置步长

Rule 20 deny source 192.168.200.2400.0.0.15  //配置网络及通配符掩码

Rule 30 permit source any //配置放行

5】  测试：