反掩码详解.docx

反掩码详解在配置路由协议的时候（如OSPF、EIGRP ）使用的反掩码必需是连续的1即网络地址 例： route ospf 100 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 而在配置ACL的时候可以使用不连续的1，只需对应的位置匹配即可 例：access-list 1 permit 198.78.46.0 0.0.11.255正掩码和反掩码的区别： 正掩码必须是连续的，而反掩码可以不连续，例如： C类地址子网掩码中不可以出现 255.253.255.0（二进制为11111111 11111101 11111111 00000000）这样的掩码；而反掩码可以出现0.0.0.2（二进制为00000000 00000000 00000000 00000010）正掩码表示的路由条目，而反掩码表示的范围反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位 在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查. IP地址与反掩码都是32位的数 例如掩码是255.255.255.0 wildcard-mask 就是0.0.0.255255.255.255.248 反掩就是0.0.0.7通配符掩码(wildcard-mask)　　路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样，通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围这是十分方便的，因为如果没有掩码的话，你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句这将造成很多额外的输入和路由器大量额外的处理过程所以地址掩码对相当有用 　　在子网掩码中，将掩码的一位设成1表示IP地址对应的位属于网络地址部分相反，在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们掩码位设成0则表示IP地址中相对应的位必须精确匹配 通配符掩码表　　CIDR 子网掩码 反掩码 　　/30 255.255.255.252 0.0.0.3　　/29 255.255.255.248 0.0.0.7　　/28 255.255.255.240 0.0.0.15　　/27 255.255.255.224 0.0.0.31　　/26 255.255.255.192 0.0.0.63　　/25 255.255.255.128 0.0.0.127　　/24 255.255.255.0 0.0.0.255　　/23 255.255.254.0 0.0.1.255　　/22 255.255.252.0 0.0.3.255　　/21 255.255.248.0 0.0.7.255　　/20 255.255.240.0 0.0.15.255　　/19 255.255.224.0 0.0.31.255　　/18 255.255.192.0 0.0.63.255　　/17 255.255.128.0 0.0.127.255　　/16 255.255.0.0 0.0.255.255　　/15 255.254.0.0 0.1.255.255　　/14 255.252.0.0 0.3.255.255　　/13 255.248.0.0 0.7.255.255　　/12 255.240.0.0 0.15.255.255　　/11 255.224.0.0 0.31.255.255　　/10 255.192.0.0 0.63.255.255　　/9 255.128.0.0 0.127.255.255 /8 255.0.0.0 0.255.255.255十进制通配符掩码 计算方法　　用二进制来表示子网掩码值，再用广播地址求其差值，然后再算回十进制。

　　即,推出公式：通配符掩码=255-掩码.255-掩码.255-掩码.255-掩码 举例一　　求子网掩码255.255.255.248通配符掩码(反掩码)　　(1)、把子网掩码255.255.255.248转换成二进制为： 　　11111111.11111111.11111111.11111000　　通配符掩码值为：广播全1(二进制)地址 减去 子网掩码二制制值，即： 　　11111111.11111111.11111111.11111111 - 11111111.11111111.11111111.11111000　　得到结果为： 　　00000000.00000000.00000000.00000111　　转换为十进制： 　　0.0.0.7　　(2)、通配符掩码=255-掩码.255-掩码.255-掩码.255-掩码，即： 　　255-255.255-255.255-255.255-248=0.0.0.7举例二　　求子网掩码255.255.128.0通配符掩码(反掩码)　　(1)、把子网掩码255.255.128.0转换成二进制为： 　　11111111.11111111.10000000.0000000　　通配符掩码值为：广播全1(二进制)地址 减去 子网掩码二制制值，即： 　　11111111.11111111.11111111.11111111 - 11111111.11111111.10000000.0000000　　得到结果为： 　　00000000.00000000.01111111.11111111　　转换为十进制： 　　0.0.127.255　　(2)、通配符掩码=255-掩码.255-掩码.255-掩码.255-掩码，即： 　　255-255.255-255.255-128.255-0=0.0.127.255Configuring IP Access List    IP访问控制列表(access control list,ACL)用于过滤IP流量,其中RFC 1700定义了知名(well-known)端口号,RFC 1918定义了私有IP地址空间    Pt.2 Understanding ACL Concepts    Using Masks    ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代表必须精确匹配,1代表任意匹配(即不关心) 反掩码可以通过使用255.255.255.255减去正常的子网掩码得到,比如要决定子网掩码为255.255.255.0的IP地址172.16.1.0的反掩码:255.255.255.255-255.255.255.0=0.0.0.255 即172.16.1.0的反掩码为0.0.0.255    注意:    反掩码为255.255.255.255的0.0.0.0代表any,即任意地址     反掩码为0.0.0.0的10.1.1.2代表主机地址10.1.1.2    Summarizing ACLs    下面描述的是如何汇总(summarization)一组网络地址,来达到优化ACL的目的:192.168.32.0/24192.168.33.0/24192.168.34.0/24192.168.35.0/24192.168.36.0/24192.168.37.0/24192.168.38.0/24192.168.39.0/24    这组IP地址的前2个和最后1个八位位组是一样的,再看第3个八位位组,把它们写成2进制的形式:32:00 10 00 0033:00 10 00 0134:00 10 00 1035:00 10 00 1136:00 10 01 0037:00 10 01 0138:00 10 01 1039:00 10 01 11    注意这组范围里的前5位都是一样的,所以这组IP地址范围可以汇总为192.168.32.0/21 255.255.248.0,那么这组IP地址范围的反掩码为255.255.255.255-255.255.248.0=0.0.7.255    比如在做IP standard ACL的时候,就可以:access-list 10 permit 192.168.32.0 0.0.7.255    再来看另一组IP地范围:192.168.146.0/24192.168.147.0/24192.168.148.0/24192.168.149.0/24    照之前的方法,把第3个八位位组写成2进制形式:146:10 01 00 10147:10 01 00 11148:10 01 01 00149:10 01 01 01    是不是可以写成192.168.146.0/21呢?不是.因为采用/21的话将有8个子网将被考虑进去,如果在用ACL拒绝上述1组地址的时候,就有可能把另外4个地址给封杀掉.一定要考虑到精确匹配,上述地址就只能汇总成下面这2条地址:对于192.168.146.x-192.168.147.x为:192.168.146.0/23(192.168.146.0 255.255.254.0)对于192.168.146.8-192.168.149.x为:192.168.148.0/23(192.168.148.0 255.255.254.0)    所以反掩码分别为:0.0.1.255和0.0.1.255    比如在做IP standard ACL的时候,就可以:access−list 10 permit 192.168.146.0 0.0.1.255access−list 10 permit 192.168.148.0 0.0.1.255Processing ACLs    当流量经过了配置的有ACL的路由器的时候,将和ACL里的条目从上往下的进行比较,直到找到匹配的语句为止,如果没有任何匹配的语句,流量将被拒绝(deny)掉.一般在设置ACL的时候,尽可能的把permit语句放在ACL的最上部.并且要记住的是,ACL在结尾处默认隐含的有1条拒绝所有流量的deny语句,如下2个ACL,ACL 101和ACL 102是有相同的效果的:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255access-list 102 deny ip any any    ACL例子如下:access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnetaccess-list 101 permit tcp host 10.1.1.2 host 172.16.1.1access-list 101 permit udp ho。