ACL中通配符的灵活运用

最新推荐文章于 2024-11-24 23:59:36 发布
转载 最新推荐文章于 2024-11-24 23:59:36 发布 · 515 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/centos-python/articles/8522646.html
文章标签:

#网络

在路由器里我们经常使用access-list来做些地址过滤,达到某些安全策略的目的,一般常用的方法是对某个地址段进行permit或者deny,

access-list permit 1 192.168.1.0 .3

access-list permit 1 192.168.1.16 .15

初学者对于wildcard mask的定义可能不是非常清晰,都会认为在ACL中的wildcard mask只能使用网络中已使用的地址段的子网掩码的反掩码来作为ACL的wildcard mask,

例一:某网络上存在一IP地址段192.168.1.0/29,如果是要允许这个网段所有的机子上网就可以用access-list permit 1 192.168.1.0 .7来做策略,但是如果要求只允许网络内192.168.1.1、192.168.1.5这两个地址上网的话,我们通常会这样写ACL:

Access-list permit 1 192.168.1.1 .0

Access-list permit 1 192.168.1.5 .0

Access-list deny any any

ACL中的wildcard mask由32个0和1组成,如果该位为0那么被匹配的地址的对应位就必需与ACL中的地址对应位匹配,

被匹配地址:    192.168.1.1   1100 0000.1010 1000.0000 0001.0000 0001

Wildcard mask: .7       0000 0000.0000 0000.0000 0000.0000 0111

ACL中的地址: 192.168.1.0   1100 0000.1010 1000.0000 0001.0000 0000

红色粗体部分就是被匹配地址与ACL中的地址需要完全匹配的部分,因为wildcard mask的前29位为0,而后三位为1,所以被匹配地址的后三位被忽略,也就是所谓的don’t care,因此后三位可以是0和1的任意组合

Access-list permit 1 192.168.1.1 .4(192.168.1.1为ACL的匹配条件地址)

ACL的wildcard mask定义,.4中只有第30位为1,所以与该位的匹配可以忽略(蓝色部分);而其它位必需与ACL中的条件匹配地址192.168.1.1的对应位相同,因此我们看上面红色字体,条件地址的末两位是01,和条件地址末两位相同的只有地址192.168.1.1、192.168.1.5,也就是说在地址段192.168.1.0/29中,只有1和5这两个地址能够通过ACL匹配。

我们上面例1中的ACL:

Access-list permit 1 192.168.1.1 .0

Access-list permit 1 192.168.1.5 .0

Access-list deny any any

可以写为:

Access-list permit 1 192.168.1.1 .4

通过以上例子,我们看出ACL中的wildcard mask和在动态路由协议里的反码是不同定义的

转载于:https://www.cnblogs.com/centos-python/articles/8522646.html

网络安全-ACL应用
A soul tortured by desire
09-05 1206
网络安全——访问控制——ACL的应用场景
华为ACL通配符
qq_35973969的博客
03-16 4375
IP地址中的是掩码 ACL中wildcard是通配符 路由协议中的wild card是反掩码 接下来解释ACL通配符的规则: 掩码、反掩码、通配符: 掩码 连续的1和0 IP地址 255.255.255.0 1对应网络位,0对应主机位 反掩码 连续的0和1 路由协议 0.0.0.255 0必须匹配,1无需匹配 通配符 任意的0和1 ACL 0.0.255.0 0必须匹配,1无需匹配通配符: 举例 备注 192.168.0.1 0.0.0.0/0 匹配一个主..
ACL 通配符灵活运用
weixin_33729196的博客
12-22 307
今日在QQ群里面讨论了一个 acl 通配符问题 access-list 100 deny ip any 200.1.2.10 0.0.0.1 问那个0.0.0.1 是怎么得来的 我们知道反掩码一般如下:0.0.0.00.0.0.10.0.0.30.0.0.70.0.0.150.0.0.310.0.0.630.0.0.1270.0.0.255 等等 但是对于 0.0...
ACL-通配符
weixin_41800014的博客
03-07 8237
在ACL中,可使用通配符掩码指定特定网络或者特定主机的一部分结合使用通配符和子网地址来告诉路由器要过滤的地址范围要指定一台主机可使用:192.168.1.1 0.0.0.0其中每个0代表一个字节,0代表地址中的相应字节必须与指定的地址相同,要指定某个字节可以为任何值,可使用255,如下:我要指定192.168.1.0/24子网:192.168.1.0 0.0.0.255其中前三个0代表地址对应...
ACL 通配符掩码的应用
阿亮的小仓库
07-24 4072
ACL(Access Control List)  访问控制列表在作为数据包的过滤器以及在对指定的某种类型的数据包的优先级,起到了对某些数据包的优先级起到了限制流量的作用,减少了网络的拥塞。           通配符掩码作为ACL中重要的一部分,是路由器在进行访问控制时必不可少的重要部件,那么什么是通配符掩码呢?           通配符掩码:路由器使用通配符掩码与原地址或者是目标
ACL管理与配置(ACL规则编号、通配符ACL的分类)】(上)-20211214
AZK707的博客
01-29 5541
目录 一、ACL(访问控制列表)技术背景 ACL可以对报文进行精确的匹配识别,仅仅匹配IP流量 二、ACL(访问控制列表) 1.ACL概述 2.ACL的组成 ACL默认隐含的规则:匹配不上的规则,就拒绝 3. 规则编号 ACL逐条匹配匹配之后,不会继续看下面的规则 所以为了方便以后的添加,ACL的编号缺省步长为5 4.通配符 与0相对应的比特位要一致才能匹配上 5.ACL的分类与标识 1)基于ACL规则定义 2)基于ACL标识 课后习题(通配符) 1)10.1....
ACL配置
09-27
理解并熟练运用ACL能够帮助企业更好地保护其网络资源,确保数据安全,以及合理地分配和限制不同用户的网络权限。在实际操作中,应根据网络拓扑、业务需求和安全策略来灵活选择和配置ACL,以达到最佳的网络控制效果。
华为Ensp,基本ACL,高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
06-16
华为Ensp,基本ACL,高级ACL,三层ACL,二层ACL,命名ACL配置大全.doc
Acl.rar_ACL
09-21
ACL超越了传统的用户/组权限模型,提供了一种更加灵活且细致的权限管理方式。通过ACL,可以实现更精确的权限分配,避免“全有或全无”的访问模式。 **二、ACL的组成** ACL通常由以下几部分组成: 1. **规则条目...
acl.rar_ACL命令
09-20
ACL(Access Control List,访问控制列表)是Linux系统中一种更为灵活的权限管理系统,它可以对文件和目录的访问权限进行更细致的控制,不仅支持传统的用户、组模式,还可以为其他用户或用户组设定特定的权限。...
acl解释
2202_75577182的博客
12-14 1636
NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
ACL通配符匹配
Y_123654的博客
10-14 2446
ACL通配符匹配ip计算 如题,通配符和反掩码是不一样的。通配符中1代表随便1或者0都行,0代表严格匹配。 255.0.254.255 255是全1代表随便,0严格匹配也就是必须是第二位的1,254:11111110 最后两位是10 再看第三位是1:01 意思是01/ 11 就是1或者3。最后一位255随便。 所以最后答案是BC ...
ACL的原理与配置
lulinhao的博客
11-24 2175
ACL;访问控制列表技术背景:园区重要服务器资源被随意访问,容易泄露机密,造成安全隐患病毒侵入内网,安全性降低网络宽带被各类业务随意挤占,服务质量要求高的宽带得不到保障,用户体验差因此:需要由一个工具来指定一些规则,从而控制一些流量,保证网络安全概述:ACL是由Permi或者deny语句组成的一系列有顺序的规则的集合;ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能匹配路由条目。
10、ACL(访问控制列表)原理与配置
2301_76274559的博客
06-19 3028
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置。
计算机网络 | 思科网络 | ACL通配符掩码
ThinPikachu的博客
05-18 7157
目录 一.什么是通配符掩码 二.使用通配符掩码 三. 通配符掩码示例 1.使用通配符掩码匹配 IPv4 子网 2.使用通配符掩码匹配网络范围 四.计算通配符掩码 1.通配符掩码计算:示例 1 2.通配符掩码计算:示例 2 3.通配符掩码计算:示例 3 五.通配符掩码关键字 1.示例 1:匹配单个 IPv4 地址的通配符掩码过程 2.示例 2:匹配所有 IPv4 地址的通配符掩码过程 一.什么是通配符掩码 通配符掩码是由 32 个二进制数字组成的字符串,路由器使用它来确定检查地址的
掩码、反掩码、通配符的区别和计算 | ACL 匹配
u013669912的博客
08-03 4131
ACL原理与配置(一、前言 二、ACL概述 三、ACL的组成实验演示通配符(1)通配符(2) ACL的分类与标识ACL基本配置 ACL高级配置​编辑)
qq_53235556的博客
09-16 2010
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。技术背景:ACL就是实现流量过滤的工具 中文名叫做访问控制列表1.ACL是由一系列permit(允许)或deny(拒绝)语句组成的、有序(有次序的)规则的列表(列表代表在一个ACL中可以有多个规则)。2.ACL是一个匹配工具,能够对报文进行匹配和区分。(匹配就是我们就ACL来对报文的特征做出个定义;区分就是识别的意思)ACL应用。
思科ACL不连续通配符掩码的计算 (转)
weixin_34149796的博客
12-30 554
转载的~~~前天在帮客户梳理nat转换时,发现一个有趣的配置,发上来供大家学习。 access-list 120 permit ip 10.0.0.0 0.0.0.191 any这条ACL看似简单,却又复杂,因为正常我们见到的通配符掩码都是诸如0.0.0.255(255...
ACL原理与配置
zzxuan1的博客
10-10 607
ACL通过对网络中报文精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性与网络服务质量的可靠性。入站是对进入的流量检测 出站是对要转发的流量检测。
数据通信中,ACL通配符掩码详解
最新发布
06-11
<think>嗯,用户这次深入询问ACL通配符掩码的技术细节,看来是个网络领域的学习者或从业者。从ta特意强调"原理"和"使用方法"来看,可能正在备考认证或配置实际设备。之前系统给的引用材料很专业,其中[^1]对通配符掩码的功能解释得最清晰,[^2]则提供了具体的应用场景分类,正好能结合起来回答。用户可能卡在"通配符掩码和子网掩码区别"这个经典难点上。需要特别注意解释:子网掩码是连续1表示网络位,而通配符掩码的0/1分别代表"必须匹配"和"无关位",这种二元逻辑正好相反。应该用对比表格呈现更直观,再辅以二进制案例演示。引用[^4]提到的ACL分类也很重要,高级ACL才会用到IP通配符。配置实例部分准备用10.1.1.0/24网段示范,这是教科书常用案例。突然想到,H3C和Cisco的通配符语法有差异,但用户没提设备类型,决定采用行业通用的Cisco语法。在反掩码处需要警示:全0通配符掩码等价于host命令,这个易错点很多初学者会忽略。配置示例要展示连续地址段和离散主机两种场景,引用[^3]的deny语法正好用得上。最后的相关问题设计成阶梯状:从原理(位运算)到实战(优化配置),再到厂商差异(思科/华为比较),应该能覆盖用户潜在需求。</think> 在数据通信中,ACL(访问控制列表)的**通配符掩码(Wildcard Mask)** 用于高效匹配IP地址范围,其原理是通过二进制掩码位标识需要检查或忽略的IP地址位。以下是详细解析: --- ### **一、通配符掩码核心原理** 1. **与子网掩码的区别** - 子网掩码:连续`1`表示网络位,连续`0`表示主机位(如 `255.255.255.0`) - 通配符掩码:`0`表示**必须匹配**的位,`1`表示**忽略**的位(如 `0.0.0.255`) *例:掩码 `0.0.0.255` 表示IP地址的最后8位(主机位)任意变化都匹配*[^1]。 2. **二进制逻辑** ```math \begin{align*} \text{IP地址} & : 192.168.1.\color{red}{0} \\ \text{通配符掩码} & : 0.0.0.\color{red}{255} \quad (\text{二进制: } 00000000\ 00000000\ 00000000\ 11111111) \\ \end{align*} ``` 结果:匹配 `192.168.1.0` 到 `192.168.1.255` 的全部地址[^2]。 --- ### **二、关键使用场景与配置** #### **1. 匹配连续IP地址段** - **需求**:允许 `10.1.1.0/24` 网段 ```bash access-list 1 permit 10.1.1.0 0.0.0.255 ``` - `0.0.0.255`:前三段固定,最后8位任意。 #### **2. 匹配单个主机** - **需求**:精确匹配 `192.168.1.5` ```bash access-list 1 permit host 192.168.1.5 # 或等效写法: access-list 1 permit 192.168.1.5 0.0.0.0 ``` #### **3. 匹配不连续地址** - **需求**:允许 `192.168.1.1` 和 `192.168.1.3` 利用掩码灵活设计: ```math \begin{array}{c|c|c} \text{IP} & \text{二进制} & \text{通配符} \\ \hline 192.168.1.1 & 11000000.10101000.00000001.00000001 & \\ 192.168.1.3 & 11000000.10101000.00000001.00000011 & \\ \hline \text{需匹配的位} & \color{red}{XXXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXX0\bold{1}} & 0.0.0.\bold{254} \\ \end{array} ``` 配置: ```bash access-list 1 permit 192.168.1.1 0.0.0.254 # 末位奇数为1的地址均匹配 ``` --- ### **三、特殊规则与注意事项** 1. **`any` 关键字** 等同于匹配所有IP:`0.0.0.0 255.255.255.255` ```bash access-list 1 permit any ``` 2. **反掩码(Inverse Mask)** 通配符掩码本质是**反子网掩码**,例如 `/24` 子网 → 掩码 `255.255.255.0` → 通配符 `0.0.0.255`。 3. **ACL执行顺序** 设备按ACL条目**自上而下匹配**,首条命中后停止检查[^3]。 --- ### **四、实战配置示例** ```bash # 禁止 10.1.1.0/24 访问 80 端口,允许其他所有流量 access-list 100 deny tcp 10.1.1.0 0.0.0.255 any eq 80 access-list 100 permit ip any any ``` --- ### **常见误区** - ❌ **通配符掩码非子网掩码**:`0.0.0.255` ≠ `255.255.255.0` - ✅ **全0掩码=精确匹配**:`192.168.1.1 0.0.0.0` ≡ `host 192.168.1.1` 通配符掩码通过灵活控制位匹配,大幅简化ACL规则数量,是网络设备流量控制的核心工具之一[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值