理解通配符掩码

一、什么是 通配符 掩码 通配符 掩码是一个32位比特数，以点分十进制表示，告诉路由器数据包IP地址的哪些比特需要和access-list命令中给定的IP地址相匹配。 二、 通配符 掩码的作用 一条典型的ACL仅能指定一个要允许或拒绝IP的规则，如果要阻止多个地址或一

一、什么是通配符掩码

通配符掩码是一个32位比特数，以点分十进制表示，告诉路由器数据包IP地址的哪些比特需要和access-list命令中给定的IP地址相匹配。

二、通配符掩码的作用

一条典型的ACL仅能指定一个要允许或拒绝IP的规则，如果要阻止多个地址或一段范围的地址，那么如使用典型的ACL规则，则需要添加多条才能满足。这样导致工作量增多，易出错且ACL执行效率降低等不足。而通配符掩码就是解决批量范围的ACL应用。简单来说，通配符掩码定义了数据包地址的哪部分需要匹配ACL中已列出的地址，哪些部分不需要匹配。

对于只有0和255字节的通配符掩码，0字节表示需要匹配，255字节表示不需要匹配。

三、简单型通配符掩码

对于标准的IP地址，使用观察就可以确定数据包的哪些位会被ACL分析，具体参见下例：

允许单台主机的通配符掩码

172.16.33.134 0.0.0.0

允许某个/24网络所有主机的通配符掩码

192.168.0.0 0.0.0.255

允许某个/16网络所有主机的通配符掩码

172.16.0.0 0.0.255.255

允许某个/8网络所有主机的通配符掩码

10.0.0.0 0.255.255.255

四、复杂型通配符掩码求法

从上面可以看出通配符掩码能实现针对一段地址范围的过滤，如上面例子，也就是分别针对单个地址，C类地址，B类地址以及A类标准地址的网络地址进行精准匹配。那么除了标准的网络地址匹配外，对于有划分子网，或没有划分子网但希望实现对某段地址范围进行ACL控制，通配符掩码能不能实现呢？答案是可以的，参见下面的例子：

问题：有192.168.22.0/26的网络，如何实现通配符掩码进行ACL控制

方法一：根据块大小求得通配符掩码：块大小-1

已知/26,可知块大小=64，那么实现上述网络细分为四个子网：

192.168.22.0

192.168.22.64

192.168.22.128

192.168.22.192

(块大小-1)即是通配符掩码中不必进行精准匹配的部分，所以通配符掩码=0.0.0.63

方法二、根据子网掩码求通配符掩码：（255.255.255.255-子网掩码）

已知/26，所以子网掩码是：255.255.255.192

通配符掩码=255.255.255.255-子网掩码-0.0.0.63

四、通配符掩码与any/host关键字

某两个特殊的通配符掩码与any/host关键字含义相同，且IOS更倾向使用特殊关键字。

其中：host=0.0.0.0,表示所有的比特位都必须匹配

any=255.255.255.255,表示所有的比特位都不需要匹配

我儿子真帅!