-
反掩码详解
———
—————————————————————————————
作者
:
—————————————
———————————————————
日期
:
?
反掩码详解
在配置路由协议的时候
(
如O
S
PF、
EIG
p>
R
P
)使用的反掩码
必需是连续的1
即网络地址。
例:
r
oute
os
p
f 100
n
e
tw
ork 19
2
.16
8.
1
.0<
/p>
0.
0.0
.255
n
e
t
work
192.
1
68.
2
p>
.
0
0.0.0
.
2
5
5
而在配置
ACL
的时候可以使用
不连续的
1
,只需
对应的位置匹配即可。
例
:ac
ces
s-l
i
st
1
pe
r
mit
1
98
.78.46.0
0.0.11.2
5
5
?
正掩码和反掩码的区别
:
正掩码必须是连续的,而反掩码可以不连续,例如
:
C类地址子网掩码中不可以出现
2
55.253.255
.
0
(二进制为
1111111
1
< br>
111111
01
1111
11
11 00
00
000
0)这样的掩码
;
而反掩码可以出现
0.
0
.0.
2(二进制为
0
0000 00
0
00
)。
正掩码表示的路由条目
,
而反掩码表示的范围。
反掩码就
是通配符掩码
,
通过标记
0
和
1
告诉设备应该匹配到哪位。
< br>
在反掩码中,相应位为
1<
/p>
的地址在比较中忽略,为
0
的必须被检查
.
IP
地
址与反掩码都是
32
位的数
例如掩码是
255.255.25
5
.0
wil
d
c
ar
d
-
m
a
s
k
就是
0
.0.0.2
5
5
255.2
5
5.255.
2
4
8
反掩就是0
.0.0.7
通配符掩码
(wi
< br>ld
car
d
-mask)
p>
?
路由器使用的
通配符掩码
(
或反掩码
)
与源或目标
地址一起来分辨匹配的地址范围
,
它跟
子网掩码
刚好相反。它
像子网掩码告诉路由器
< br>IP
地址
的哪一位属于
网络号<
/p>
一样,通配符掩码告诉路由器为了判断出匹配,它需要检查
IP<
/p>
地址中的多少位。这个地址掩码对使我们可以只使用两个
3
2位的号码来确定
IP
地址的范围。这是十分
方便
的,因为如果没有掩码的话,你不得不对每个匹配的
IP<
/p>
客户地址加入一个单独的
访问列表
语句。
这将造成很多
额外的输入和路由器大量额外的处理过程。所以地址掩码对相当有用。
p>
?
在子网掩码中
,
将掩码的一位设成
1
表示
IP
地址对应的位属于网络地址部分。相反,在访问列表中将通配符<
/p>
掩码中的一位设成1表示
I
P地址中对
应的位既可以是
1
又可以是
0
。有时
,
可将其称作“无关”位,因为路由
p>
器在判断是否匹配时并不关心它们。掩码位设成
0
< br>则表示
IP
地址中相对应的位必须精确匹配。
???
通配符掩码
表<
/p>
CID
R
子网掩码
反掩码
25
30/
?
5.2
55.25
5
.252 0
p>
.
0
.
0.325
5.2
29/
?
5
5
.
255.248
p>
0
.0
.
0.7
/28 2
5
5
.
25
5.
25
5.
240
0.0.0
.
15
255
p>
27
/
?
.
255
.2
5
5.224
< br>0
.
0
.
0.
3
1
?
/26 255.25
5
.255.
1
9
2
0.0
.0
.63
?
/2
5
2
55.255.255.128
0.0
.0.127
/2
4 2
5
5.2
5
5.2
5
5.
0
0
.0.0.255
2
23
/
<
/p>
?
5
5.
2
p>
5
5.
254
.<
/p>
0 0
.
0.1
.
255
/2
2
25
5
.
255.252
.0
0
.0.3.
2
55
/21
2
55.2
55.248.0
0.<
/p>
0.
7.2
55
/20
255.25
5
.240.0
0
.
0
.15
.
255
?
/19 255.2
55
.2
2
4.
0
0.
0
.31.255
18
/
?
2
55.
2
5
5.1
9
2
.0
0
.0.63.255
/1
7
255.255.128.0 0.
0
.127.255
?
/16
25
5.
255.0.
0
0.
0
.25
5
.2
5
5
?
/1
5
25
5.
2
5
4
.
0.
0
0
.
1.255.25
5
?
/14
255
.2
52.0.0
0.3.25
5
.255
/13 25
5
.248
.
0
< br>.
0 0.7.
255
.255
?
/1
2
25
5
.240.0.
0
< br>
0.
15
.
< br>25
5.2
55
?
/11
255.
2
24.0.0
0.31<
/p>
.
255
.
25
5
?
/1
0 25
5
.192
.
0
.0
< br>
0
.6
3.255.255<
/p>
9
/
?
255.128
< br>.
0
.
0
0
.
1
27
.
25
5
.
2
55
/
8
25
5
.0.0.0
0.255.255.255
??
十进制通配符掩码
计算方法
用二进制来表示子网掩码值,再用广播地址求其差值
,
然后再算回
十进制
。
?
即,推
出公式
:
通配符掩码
=2
55
-
掩码
.
2
5
5-掩码.
25
5
-掩码.
255-
掩码
?
举例一
?
求子网掩码2
55.25
5
.255.2
4
8
p>
通配符掩码
(
反
掩
码
)
?
<
/p>
(
1
)、把子网掩码
255
.
255
.
255.248
转换成
二进制
为
:
?
11
111111.1
1
111111.11
1
11
1
11
.
111
1
1
00
0
通配符掩码值为:广播全
1(
二进制)地址
减去
子网掩码二制制值,即:
?
111
1
1
1
11<
/p>
.
111
1
11
1
1
.11
1
1111
1.
1111111
1
-
11
1
111
11.1
1<
/p>
1
11111
.
11111
1
1
1
.1111100
0
得到结果为
:
000
00000.0
0
0
0
000
0
.000
0
00
0
0.
0
000011
1
?
转换为十进制
:
?
0
p>
.0.0.7
?
?
(2<
/p>
)、通配符掩码
=255-
掩码
.
25
5-
掩码
.255
-掩码.
25
5-掩码
,
即:
?
2
p>
5
5-25
5.2
5
5-255.255-255.25
5
-
2
48=0.0.
0
.7
?
?
举例二
求子网掩码
255.
2
55.1
28
.0
通配符掩码
(
反掩码
)
?
p>
(1
)
、把子网掩码
255
.
25
5
.1
2
8.
0转换成二进制
为
:
11
1
1<
/p>
11
1
1
.11
11
1
11
1
.1000
0
0
00
< br>.
0
0000
0
0
?
通配符掩码值为
:
广播全
1(
p>
二进制
)
地址
减去
子
网掩码二制制值,即
:
?
1
p>
1
1
11111
.
1
1111111.1
1
111
11
1
.1
1111
1
1
1 -
1
1
1
1
1111
.
11
1
11
1
11.10000000
.0
0
0
0000
得到结果为
:
000
0
0
000
.
0000000
0
.0
1
1111
1
1.1111
1
111
?
转换为十进制:
0.0.
12
7.
2
55
?
(
2
)
、
p>
通配符掩码
=255-
掩码
.255-
掩码
.
2
55-
掩码.
255-
掩码
,
即
:
?
25<
/p>
5-
255.
2
55-255.2
5
5-12
8
.255-
0
=0
.
0.1
27.
2
55
?
Configuring
IP
Ac
c
es
s
List
IP
访问控制列表
(a
c
c
ess
c
o
nt
rol
lis
t,
p>
A
CL)
用于过滤
I
P流量,
其中
RFC
170
0定义了知名
(well-
< br>k
no
w
n)
< br>端口号
,RFC 19
1
8
p>
定义了私有
IP
地址空间
< br>??
Pt
.2 U
p>
n
ders
t
an
d
i
ng
A
CL Con
c
ept
s
??
Usi
n
g
Mask
s
??
ACL
里的掩码也叫
i
n<
/p>
verse
mask(
反掩码)或w<
/p>
ildca
rd
ma
s
k(
通配符掩码)
,
由
32
位长的
2
进制数字组
成
,4<
/p>
个八位位组
.
其中
0
代表必须精确匹配,
1
代表任意匹
配(即不关心)
反掩码可以通过使用2
55
.
25
5
.25
5.
2
5
5减去正常的子网掩码得到
,
比如要决定子网掩码为
2
5
5.
2
55
.25
5.0
的<
/p>
IP
地址
17
2
.1
6.
1.0
的反掩码
:
2
?
5
5.
2
55.255.255-
255
.
255.255.0=0.0.0
.2
5
5
即1
72
.
16
.1
.
0的反掩码为
0.
0.0
.255
?
注意
:
反掩码为
255.255.255.25
5的0
.0.0
.0代表an
y,<
/p>
即任意地址
反掩码为0.
0.0.0
的
10.1.
1.
2<
/p>
代表主机地址
10
.
1.
1
.2
?
Summarizing
A
CL
s
??
下面描述的是如何汇总
(summar
i
za
ti
o
n
)
一组网络地址
,
< br>来达到优化A
C
L的目的
:
p>
?
192.168
.3
2
.
0
/
2
4
1<
/p>
92.
1
6
8.
33
.
0/24
192
?
.
168
.34
.
0/2
4
19
?
2.1
68
.3
p>
5.
0
/24
19
2
.168.
3
6.0/
2
4
19
2
.16
8
.
3
7.0/
24
192
?
.
1
6
8.38
.
0/24
1
92.168.39.0/
2
4
?
p>
这组
IP
地址的前2个和最后
1
个八位位组是一样的
,
再
看第
3
个八位位组,把它们写成2进制的形式:
3
2:0
0
10
0
0 00
?
3
3:
0
0
10
0
0
01
34:00
?
1
0
0
0
1
p>
0
?
3
5:0
p>
0
1
0
00
11
36
?
:
0
0 10
0
1
0
0
37
:
00
1
0
0
1
01
38
:0
0
10 01
10
?
39
:00
10
01
1
1
??
注意这组范围里的前
5
位都是一样的
,
所以这组
IP
地址范围可以汇总为
192.168
.3
2
.
0
/
21 255.
2
5
5
.248.0
,那么这组I
P
地址范围的反掩码为<
/p>
255.255.2
5
5.25
5-
2
5
5.
2
55
.
248.
p>
0
=
0.0.
7.
255
?
比如在做
I
P
stan
d
ard ACL
的时候
,
就可以
:
a
c
ces
s
-
l
is
t
1
0
pe
rm
it
1
92
.16
8.32
.
0
0.0.
7
.
2
55
??
再来看另一组
IP
地范围
:
192.168.
1
46
.0/24
19
< br>?
2.1
6
8.
1
4
7.0
/
24
19
?
2
.1
6
8.14
8.0/2<
/p>
4
?
1
92.1
68.1
4
9.0/
2
4
照之前的方法
,
把第
3
个八
位位组写成
2
进制形式
:
1
4
6:<
/p>
1
0 0
1
00
1
0
1
47
?
:
10
0
1
00
11
1
4<
/p>
8:1
0
0
1
0
1
0
0
149
:
10 01
01
01
?
是不是可以写成19
2.1
6
8.1
4<
/p>
6
.
0/21
呢
?
不是
.
因为
采用
/
2
1
的
话将有
8
个子网将被考虑进去
,
如果在用
AC
L拒绝
上述
1
组地址的时候
,
就有可能把另外4个地址给封杀掉
.
一定要考虑到精确
匹配
,
上述地址就只能汇总成下面这2条地
址
:
??
对于
192.
168
.1
4
6.x
-
192.16
8
.1
47.x
为
:1
< br>92
.168.146.0/23(192.
1
68.146.0 255.2
55
.25
p>
4.
0)
对于
1
9
2
.
1
p>
6
8.
146.
8
-
1
9
2.1
68.149
.
x
为:
192.1
6
8.14
8
p>
.0/23(192
.1
68
.1
48.0 255.
2
5
5
.2
54
.
0
)
?
所以反掩码分别为
:0.0.
1.255
和
0
.
0
.
1.
25
5
比如在做I
P
s
t
and
ar
d
< br>
ACL的时候
,
就可以
:
??
acce
ss
?lis
t 1
0
permi
t
1
92
.16
8.146.0
0.0.1.
25
5
a
ccess?lis
t
1
0
p
e
r
mit
1
9
2.1
6
8.148.
0
0.
0
.1
.25
5
Pr
o
ce
s
sing
AC
Ls
?
当流量经过了配置的有
ACL
的路由器的时候,将和
ACL
里的条目
从上往下的进行比较
,
直到找到匹配的语句为止
,
如果
没有任何匹配的语句
,
流量将被拒绝(
deny)
掉.一般在
设置
ACL
的时候
,
< br>尽可能的把p
e
r
m
i
t
语句放在
A
CL的最上
部.并且要记住的是
,ACL
在结尾处默认隐含的有
1
条拒绝所有流量的<
/p>
d
e
n
y语句<
/p>
,
如下
2
个
p>
ACL,
A
CL
101
和
ACL
1
0
2是有相同的效果的
:
?
acc
e
ss-l<
/p>
i
st 101
pe
r
mit ip
10
.
1
.
1.0
0
.
0.0.255 172.16<
/p>
.
1
.
0
p>
0
.
0.
0
.255
??
access-
l
i
st
1
02
p
ermit
ip 1
0
.
1
.1.0 0
.
0.0.25
5
172.
1
6.1.0
0
.0
.
0.255
p>
a
ccess
-
l
ist 10
2
d
eny
i
p an
y
any
?
ACL
例子如下
:
a
cce
s
s-l
ist
101
p
ermit
tc
p
ho
s
t 10.1.1.2
hos
t
1
72.16.1.
1
eq teln
et
?
ac
c
e
ss-list
101
permi
t
tcp
h
o
st
1
0.1.
1
.
2
host 1
72
.1
6
.1
.
1
?
a
c
c
< br>es
s
-list
1
0
1
pe
rmi
t
u
dp
hos
t
1
0
.
1.1
.
2 host
1
72.1
6
.1.1
?
a
c
ces
s
-list
1
01
perm
i
t ip
1
0.1.1
.
0
0.
0.
0.255
172.16.1.
0
0.
0
.0.
2
55
?
最后
1
条语句就足够了
,
前
3
条语句可以不用配置.因为<
/p>
T
CP就包括了
telnet,
并且
IP
包括了
TC<
/p>
P和
UDP
.所以只
-
-
-
-
-
-
-
-
-
上一篇:自然拼读教材
下一篇:基于稀疏矩阵的逆和行列式的计算