ImageVerifierCode 换一换
格式:DOCX , 页数:13 ,大小:23.26KB ,
资源ID:6725582      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/6725582.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(反掩码详解.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

反掩码详解.docx

1、反掩码详解反掩码详解在配置路由协议的时候(如OSPF、EIGRP )使用的反掩码必需是连续的1即网络地址。 例: route ospf 100 network 192.168。1。0 0。0。0.255 network 192。168.2.0 0。0。0。255 而在配置ACL的时候可以使用不连续的1,只需对应的位置匹配即可。 例:access-list 1 permit 198.78.46。0 0。0。11.255正掩码和反掩码的区别: 正掩码必须是连续的,而反掩码可以不连续,例如: C类地址子网掩码中不可以出现 255.253。255.0(二进制为11111111 11111101 111

2、11111 00000000)这样的掩码;而反掩码可以出现0。0.0。2(二进制为00000000 00000000 00000000 00000010)。正掩码表示的路由条目,而反掩码表示的范围。反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。 在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查. IP地址与反掩码都是32位的数 例如掩码是255.255.255。0 wildcardmask 就是0。0.0.255255.255。255.248 反掩就是0。0.0。7通配符掩码(wildcardmask)路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址

3、范围,它跟子网掩码刚好相反。它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。这将造成很多额外的输入和路由器大量额外的处理过程.所以地址掩码对相当有用。 在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。相反,在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时,可将其称作“无关”位,因为路由器在判断是否匹

4、配时并不关心它们。掩码位设成0则表示IP地址中相对应的位必须精确匹配. 通配符掩码表CIDR 子网掩码 反掩码 /30 255.255.255。252 0.0.0。3/29 255.255.255。248 0。0。0.7/28 255.255。255。240 0.0.0.15/27 255。255.255。224 0。0。0。31/26 255。255。255。192 0。0。0。63/25 255。255。255.128 0。0。0.127/24 255.255.255.0 0。0。0.255/23 255.255。254。0 0。0.1。255/22 255.255.252.0 0.0.3

5、.255/21 255.255.248.0 0.0。7.255/20 255。255.240。0 0。0。15.255/19 255.255.224。0 0。0.31.255/18 255.255.192.0 0。0.63.255/17 255.255。128.0 0.0。127。255/16 255.255.0.0 0。0。255.255/15 255。254.0.0 0.1.255。255/14 255.252.0.0 0。3。255.255/13 255.248。0.0 0.7。255。255/12 255.240.0.0 0.15。255.255/11 255。224。0。0 0.31

6、。255。255/10 255。192.0。0 0.63。255。255/9 255.128。0.0 0。127.255。255 /8 255.0.0。0 0.255.255.255十进制通配符掩码 计算方法用二进制来表示子网掩码值,再用广播地址求其差值,然后再算回十进制。 即,推出公式:通配符掩码=255-掩码.255-掩码.255掩码。255-掩码 举例一求子网掩码255。255.255。248通配符掩码(反掩码)(1)、把子网掩码255.255。255。248转换成二进制为: 11111111.11111111.11111111.11111000通配符掩码值为:广播全1(二进制)地址 减

7、去 子网掩码二制制值,即: 11111111。11111111.11111111。11111111 11111111.11111111.11111111.11111000得到结果为: 00000000。00000000。00000000.00000111转换为十进制: 0。0。0.7(2)、通配符掩码=255-掩码。255-掩码.255-掩码.255-掩码,即: 255255。255-255.255-255.255248=0.0。0。7举例二求子网掩码255.255。128.0通配符掩码(反掩码)(1)、把子网掩码255.255.128。0转换成二进制为: 11111111.11111111.

8、10000000。0000000通配符掩码值为:广播全1(二进制)地址 减去 子网掩码二制制值,即: 11111111。11111111。11111111。11111111 - 11111111。11111111。10000000.0000000得到结果为: 00000000.00000000.01111111.11111111转换为十进制: 0.0。127。255(2)、通配符掩码=255掩码.255掩码.255-掩码。255-掩码,即: 255255.255255.255-128。2550=0.0。127.255Configuring IP Access List IP访问控制列表(acc

9、ess control list,ACL)用于过滤IP流量,其中RFC 1700定义了知名(wellknown)端口号,RFC 1918定义了私有IP地址空间 Pt。2 Understanding ACL Concepts Using Masks ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代表必须精确匹配,1代表任意匹配(即不关心)反掩码可以通过使用255。255。255。255减去正常的子网掩码得到,比如要决定子网掩码为255。255。255。0的IP地址172.16.1。0的反掩码:255

10、.255.255。255255.255.255。0=0。0。0。255即172。16.1。0的反掩码为0。0.0。255注意:反掩码为255。255。255。255的0.0.0。0代表any,即任意地址 反掩码为0.0.0.0的10。1。1。2代表主机地址10.1。1.2 Summarizing ACLs下面描述的是如何汇总(summarization)一组网络地址,来达到优化ACL的目的:192.168。32.0/24192。168.33。0/24192.168。34。0/24192。168.35.0/24192.168.36.0/24192。168。37.0/24192.168。38。0/

11、24192。168。39。0/24这组IP地址的前2个和最后1个八位位组是一样的,再看第3个八位位组,把它们写成2进制的形式:32:00 10 00 0033:00 10 00 0134:00 10 00 1035:00 10 00 1136:00 10 01 0037:00 10 01 0138:00 10 01 1039:00 10 01 11注意这组范围里的前5位都是一样的,所以这组IP地址范围可以汇总为192.168。32.0/21 255.255.248。0,那么这组IP地址范围的反掩码为255。255。255。255255.255.248.0=0。0。7.255比如在做IP sta

12、ndard ACL的时候,就可以:access-list 10 permit 192.168.32.0 0。0.7.255再来看另一组IP地范围:192.168。146。0/24192。168。147.0/24192.168.148.0/24192.168.149。0/24照之前的方法,把第3个八位位组写成2进制形式:146:10 01 00 10147:10 01 00 11148:10 01 01 00149:10 01 01 01是不是可以写成192。168.146。0/21呢?不是.因为采用/21的话将有8个子网将被考虑进去,如果在用ACL拒绝上述1组地址的时候,就有可能把另外4个地址

13、给封杀掉。一定要考虑到精确匹配,上述地址就只能汇总成下面这2条地址:对于192.168。146.x192。168。147.x为:192.168。146。0/23(192。168。146.0 255.255。254。0)对于192。168.146.8-192。168。149.x为:192。168。148。0/23(192。168.148。0 255。255。254.0)所以反掩码分别为:0.0.1.255和0.0。1。255比如在做IP standard ACL的时候,就可以:accesslist 10 permit 192。168.146.0 0。0。1。255accesslist 10 pe

14、rmit 192。168。148.0 0.0。1.255Processing ACLs当流量经过了配置的有ACL的路由器的时候,将和ACL里的条目从上往下的进行比较,直到找到匹配的语句为止,如果没有任何匹配的语句,流量将被拒绝(deny)掉.一般在设置ACL的时候,尽可能的把permit语句放在ACL的最上部。并且要记住的是,ACL在结尾处默认隐含的有1条拒绝所有流量的deny语句,如下2个ACL,ACL 101和ACL 102是有相同的效果的:accesslist 101 permit ip 10。1。1.0 0。0.0。255 172.16.1.0 0.0.0.255accesslist

15、102 permit ip 10.1。1.0 0。0。0.255 172。16。1。0 0.0。0.255accesslist 102 deny ip any any ACL例子如下:access-list 101 permit tcp host 10。1。1。2 host 172。16。1。1 eq telnetaccesslist 101 permit tcp host 10.1.1。2 host 172。16。1。1accesslist 101 permit udp host 10。1。1。2 host 172.16。1。1accesslist 101 permit ip 10。1。1.

16、0 0。0。0.255 172.16.1.0 0。0。0。255最后1条语句就足够了,前3条语句可以不用配置。因为TCP就包括了telnet,并且IP包括了TCP和UDP.所以只需要写最后1条语句即可Defining Ports and Message Types在设置ACL的时候,可能不光要设置源地址和目标地址,还要设置端口号(参阅RFC 1700)或ICMP信息类型(参阅RFC 792)。当然可以在设置的时候输入?来查看提示,如下:accesslist 102 permit tcp host 10.1.1。1 host 172。16。1。1 eq ?bgp Border Gateway P

17、rotocol (179)chargen Character generator (19)cmd Remote commands (rcmd, 514) 在配置的时候,路由器同样可以把数字转化为人性化的值,比如在设置下面的ICMP类型14的时候:accesslist 102 permit icmp host 10。1。1.1 host 172。16。1.1 14 就成了:access-list 102 permit icmp host 10。1。1.1 host 172。16.1.1 timestamp-reply Applying ACLs 当你配置了ACL的时候,不在路由器上应用它,是将不

18、会生效的.如下图: 当你要阻断从source到destination的流量的时候,尽可能的把ACL设置在离源地址近的地方,即在路由器A上的E0接口(inbound) Defining in and out in和out是相对于路由器来说的.离开路由器接口的流量即为out;进入这个路由器的接口的流量即为in。在配置ACL的时候,in和out并不是绝对的。比如上面那个例子,在路由器A上设置ACL,方向就要用in,因为站在路由器A的角度上看,流量是进入路由器A的.但是同样可以把ACL设置在路由器C上的E1接口,方向为out,因为流量是离开路由器C Editing ACLs 在对ACL进行编辑的时候要

19、特别的注意.如果你删除了ACL中某条语句,那么整个ACL也随之被删除掉了。如下:router#config trouter(config)#accesslist 101 deny icmp any anyrouter(config)accesslist 101 permit ip any anyrouter(config)#Zrouter#show access-listExtended IP access list 101deny icmp any anypermit ip any anyrouter*Mar 9 00:43:12.784: SYS5-CONFIG_I:Configured

20、from console by consolerouter#config trouter(config)#no accesslist 101 deny icmp any anyrouter(config)Zrouter#show accesslistrouter#Mar 9 00:43:29。832:%SYS5CONFIG_I: Configured from console by console 所以如果你要修改ACL的语句的时候,可以把路由器的配置拷贝到TFTP服务器上,用文本编辑器比如notepad.exe进行编辑后,在拷贝回路由器上 当然也可以用命名访问列表的方式进行修改(稍后讲解),

21、如下:router#config trouter(config)ip access-list extended testrouter(config-extnacl)permit ip host 2。2.2.2 host 3。3。3。3router(configextnacl)permit tcp host 1。1。1。1 host 5。5。5.5 eq wwwrouter(config-ext-nacl)#permit icmp any anyrouter(configextnacl)#permit udp host 6.6。6.6 10。10。10。0 0。0。0。255 eq domain

22、 验证下ACL的设置,如下:router#show accesslistExtended IP access list testpermit ip host 2。2.2.2 host 3。3。3。3permit tcp host 1。1.1.1 host 5。5。5。5 eq wwwpermit icmp any anypermit udp host 6.6.6。6 10。10。10.0 0.0。0。255 eq domain 设置好ACL,进行删除和增加语句,如下:router(config)#ip accesslist extended testrouter(config-ext-nacl

23、)no permit icmp any any /-删除1条语句-/router(configext-nacl)#permit gre host 4。4。4。4 host 8。8。8.8 /-增加1条语句-/ 修改后进行验证,如下:routershow access-listExtended IP access list testpermit ip host 2.2.2。2 host 3。3。3.3permit tcp host 1.1。1.1 host 5.5。5。5 eq wwwpermit udp host 6.6.6.6 10。10.10.0 0.0.0。255 eq domainpe

24、rmit gre host 4.4.4。4 host 8。8.8。8 可以看到新增的语句位于ACL的结尾 当要删除整个ACL的时候,使用如下命令:interface interfaceno ip access-group inoutTroubleshooting 当要对流量进行debug的时候,首先要确认,当前设置的有ACL,但是没有应用它,并且路由器的fast-switching要关闭,步骤如下: 1。使用accesslist命令捕捉需要监测的数据,比如:access-list 101 permit ip any host 10。2.6.6accesslist 101 permit ip h

25、ost 10。2。6.6 any 2.在卷入debug过程中的接口的fast-switching功能要关闭,如果不关闭的话,将只看的到第一个经过该接口的包。在接口配置模式下使用如下命令:no ip routecache 3.在特权模式下使用terminal monitor命令,这样debug输出的信息将被显示 4。使用debug ip packet 101 detail命令开始debug 5。debug完成以后,在特权模式下使用no debug all命令关闭debug。并且进入接口配置模式使用ip route-cache命令打开fastswitching功能 Pt。3 Types of IP

26、 ACLs Standard ACLs 标准ACL是比较古老的ACL,可以追溯到Cisco IOS Release 8.3.标准ACL(以IP访问列表为例)通过比较IP包的源地址和ACL中设置的地址来做转发或者丢弃的决定。语法如下:accesslist permit|deny host |source wildcardmask | any 在一般的IOS版本中,accesslist-number的范围是1到99.在Cisco IOS Release 12.0。1中,还可以使用额外的一段1300到1999 当定义了标准ACL以后,进入接口配置模式使用如下命令进行应用:ip access-grou

27、p access-list-number in|out Extended ACLs 扩展ACL是在Cisco IOS Release 8.3中引入的。顾名思义,它和之前那种古老的比较方式,增加了许多额外的比较。命令如下: 对于IP:accesslist dynamic dynamicname timeout minutes deny permit protocol source wildcardmask destination wildcard-mask precedence precedence tos tos log log-input timerange time-range-name

28、对于ICMP:access-list accesslistnumber dynamic dynamic-name timeout minutes deny permit icmp source wildcardmask destination wildcard-mask icmptype icmp-type icmp-code | icmpmessage precedenceprecedence tos tos log loginput timerange timerangename 对于UDP:accesslist access-listnumber dynamic dynamicname

29、timeout minutes deny permit udp source wildcard-mask operator port destination wildcardmask operator port precedence precedence tos tos log log-input timerange time-rangename 对于TCP:access-list access-listnumber dynamic dynamicname timeout minutes deny permit tcp source wildcard-mask operator port destination wildcardmask operator port precedence precedence tos tos log | loginput timerange timerangename 在一般的IOS版本里,accesslistnumber可以为101到199.在Cisco IOS

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1