XCIE-HUAWEI-华为ACL,子网掩码,反掩码,通配符-超级详细

XCIE-HUAWEI-华为ACL,子网掩码,反掩码,通配符-超级详细

注意,华为中ACL默认允许所有,思科中ACL默认拒绝所有

本章几乎都是理论,最好是懂ACL但是没完全理解的,适合IP/NP级别的人看,IA/NA的也可以

来看一条acl
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255

这个后面的东东叫什么 ?
叫通配符

子网掩码

他是用来干嘛的呢?
用来给IP地址去确定网段的
那么他是怎么组成的呢?

32位的二进制组成的
32个1
二进制里面是什么?
1和0

在子网掩码中
1表示精确匹配,0表示随机.1和0不可以交叉,由连续的1和连续的0组成
例如192.168.1.0/24
掩码就是255.255.255.0
这个255是怎么来的呢?
255=8个1
二进制的8个1转换成10进制就是=255
那么255代表什么
就是说要精确匹配
前面的必须一样
这个东东太简单了就不多说了

反掩码

还是那这个192.168.1.0/24来举例子
192.168.1.0 255.255.255.0

那他的反掩码
最简单的计算
用四个五255去减
就等于0.0.0.255
最后一个是255-0=255

反掩码
1表示随机,0表示精确匹配,1和0不可以交叉,由连续的1和连续的0组成
别问谁开发的,我也不知道.
比如我们在ospf中宣告
他就是这样设定的
ospf
  area 0
    network 192.168.1.0 0.0.0.255

肯定没有说network 192.168.1.0 0.0.255.0的吧
他会报错的,会报错什么呢?
他会告诉你不是连续的,无法宣告,报错

通配符

啥玩意叫通配符?

先讲理论
1表示随机,0表示精确匹配,1和0可以交叉,ACL里面使用的就是通配符

注意这个
!!!
ACL里面用的是通配符
下面就知道为什么强调了

对于这个通配符
192.168.1.0
0  0  0 255
什么意思呢
前面因为是0
0是要精确匹配
那么就是说
前面的都要一模一样,才能匹配上
那么最后呢
255=8个1
11111111
1=任意的
他可以是任何数,0-255都可以
所以说他上面匹配的是什么
192.168.1.0-192.168.1.255
再来个掐头去尾
头=0=网络号
尾=255=广播地址
可用地址=192.168.1.1-192.168.1.254

小进阶版
192.168.0.0
0.0.255.255
这个的取值范围是?

首先
0和0前面就不用管了
精确匹配嘛
那么就是192.168.0.0/16
192.168.0.0-192.168.255.255
掐头去尾
主机范围就是192.168.0.1-192.168.255.254

然后又回到acl-我要坑你们了哈
还是这个192.168.0.0/16

如果说
在G0/0/0口中
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
traffic-filter in acl 2000 /在入接口挂上ACL,来的报文都根据ACL的规则进行过滤
这样会发生啥??

答案是什么都不会发生
因为华为的ACL中,他是默认允许所有的
acl2000是基本acl
而且只匹配了源-source
但是
华为默认中允许所有
我动作都是permit了
所以他会生效
但是没什么用
记住哈
他是会生效的!!!

还是ACL
改一下

如果说
在G0/0/0口中
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
traffic-filter in acl 2000 /在入接口挂上ACL,来的报文都根据ACL的规则进行过滤
这样会发生啥??
注意哈,这次是deny了

前面解释过
因为华为中的ACL默认允许所有
那么你拒绝了soruce 192.168.1.0 /24
那么除了192.168.1.0/24的数据
其他的全部都可以默认通过
为什么不需要写一条permit any在后面呢?
因为默认允许所有,这条ACL你是看不见的
是隐藏的,但是呢,实际上他是存在的

很重要的一个点,ACL并不会匹配子网掩码他只会匹配你的网络号

例如
acl 2000
rule 10 deny sou 192.168.0.0 0.0.0.255
rule 15 permit 

以下网段请问那个会被acl抓到呢?
A 192.168.1.0 255.255.255.0
B 192.162.2.0 255.255.0.0
C 192.163.0.0 255.255.255.128
D 192.162.2.0 255.255.255.0
E 192.168.5.0 255.0.0.0

答案是什么呢?
你们觉得是什么呢?
答案是A和E
为什么?
因为ACL不会匹配掩码
他只会管你的网络号
那么
它的规则是192.168.0.0 反掩码0.0.255.255
就意味着
只要你的开头是192.168
无论你是啥
都给你抓了

再来一发哈
acl 2000
rule 1 permit source 1.1.1.0 0

1.1.1.1/32
1.1.1.0/24
1.1.1.0/25
1.1.0.0/16
1.0.0.0/8
请问那个可以被acl匹配上呢?

答案是1.1.1.0/24和1.1.1.0/25

不要跟我犟哈 说什么1.1.1.1/8的
我这里说的是网段,整个段

再来一个比较难的

题目:先有一个地址池,192.168.0.0/16
请使用ACL将这个地址池中所有的192.168.x.0/24的网段匹配出来
当X=奇数=deny
当X=偶数=permit
请问ACL怎么写?

来源HCIE-TAC题目

注意哈
讲讲思路
第一,我们用的是ACL
ACL匹配规则=通配符
那么就是说 前面两位是固定焊死的了
不用管他
值得关注的是后面的两位

那么前面两个都是0=精确匹配
重点来了

这个第三组怎么分开13579
怎么分开2468,10呢

来 化身二进制
把这个第三个位置
变成0000 0000

换个思路想想
如果说
他这个数为偶数的话
是不是就是=最后一位肯定=0
因为你无论怎么算,1 3 5 7 9 11 13 最终能到0的,肯定是双数
最后能到1的,肯定是单数 
那是啥意思?
1111 111 最后这个数字 只要是0,就行了=双数
0000 000 最后这个数字 只要是1,就行了=单数

这个就是思路
那么思路出来了,要怎么干呢?

题目:先有一个地址池,192.168.0.0/16
请使用ACL将这个地址池中所有的192.168.x.0/24的网段匹配出来
当X=奇数=deny
当X=偶数=permit

那么第一个答案则是
192.168.0.0  0.0.254.0
那么第二个答案则是
192.168.1.0  0.0.254.0

已经讲得超级详细了哈
还是不懂的回去看二进制和慢慢咬文嚼字理解一下吧