Aiuto su wildcard mask

[lemonade]

ciao a tutti,
come da oggetto, c'è qualche anima pia che mi sa spiegare in maniera comprensibile come caspita funzionano le wildcard mask?
Sto iniziando a studiare le ACL dal curriculum, ma sulle wildcard mi sono un pò arenato.
Fate conto di doverlo spiegare a vostra zia

[Roberto82]

google è pieno di documenti in merito

[lemonade]

E' mia abitudine cercare sul web prima di chiedere sul forum, non ho trovato nulla a parte pochissimi esempi scopiazzati da un sito all' altro.

[andrewp]

La wildcard mask, detta in parole povere è una subnet mask "al contrario", prendi ad esempio una classica classe B:

255.255.0.0 la sua wildcard sarà 0.0.255.255

ora una classe C:

255.255.255.0 sarà 0.0.0.255

E fino a qui, credo che anche tu ci fossi...dov'è la complicazione? Nel "girare" mentalmente subnet più strette:

255.255.255.240

per girare una subnet del genere Cisco insegna un piccolo trucco, togliere l'ultimo valore al massimo che è 255, quindi 255-240=15 quindi, la relativa wildcard sarà:

0.0.0.15


Ora, non ti resta che trasportare il ragionamento in bit:

Subnet Mask 255.255.255.240 -> 11111111.11111111.11111111.11110000

WildCard Mask -> 00000000.00000000.00000000.00001111

Trasformando, infatti, gli ultimi 1111 in decimale viene 8+4+2+1= 15


Spero di essere stato chiaro, ho lavorato la notte non so se mi sono espresso al meglio

[lemonade]

Sei stato chiarissimo e ti ringrazio per la risposta.

Da quello che mi sembra di capire, se io applico la wildcard mask del tuo esempio (0.0.0.15) all' indirizzo 192.168.0.0 e la "do in pasto" ad una ACL, quest ultima "processerà" tutti gli indirizzi da 192.168.0.0 a 192.168.0.15, essendo 4 i bit posti a 1 nella wildcard mask e che quindi verranno ignorati dalla ACL.

E se invece io volessi per esempio controllare con una ACL il range da 192.168.0.3 a 192.168.0.76?

[active]

Sperando di non dire ca@@ate penso tu abbia bisogno di una /25, quindi 0.0.0.127 in wildmask.

[lemonade]

mmh, se non erro se scrivo 192.168.0.3 0.0.0.127, dico all' ACL di controllare gli indirizzi da 192.168.0.0 a 192.168.0.127... io voglio controllare da 192.168.0.3 a 192.168.0.76

[active]

Purtroppo per andare da 3 a 76 devi gestirti un pool di 128 indirizzi (126 effettivamente utilizzabili).

[lemonade]

quindi ponendo il caso che con questa ACL io volessi impedire al range da 3 a 76 l' accesso a una interfaccia non potrei farlo con un' unica acl ma dovrebbe essere qualcosa del tipo:

permit 192.168.0.1
permit 192.168.0.2
permit 192.168.0.77
.
.
.
permit 192.168.0.255
deny 192.168.0.0 0.0.0.127

giusto?
o non ho capito un tubo?

[andrewp]

Sei stato chiarissimo e ti ringrazio per la risposta.

Da quello che mi sembra di capire, se io applico la wildcard mask del tuo esempio (0.0.0.15) all' indirizzo 192.168.0.0 e la "do in pasto" ad una ACL, quest ultima "processerà" tutti gli indirizzi da 192.168.0.0 a 192.168.0.15, essendo 4 i bit posti a 1 nella wildcard mask e che quindi verranno ignorati dalla ACL.

4 bit -> 2 elevato alla 4 - 2 -> 192.168.0.0 a 192.168.0.14

quindi ponendo il caso che con questa ACL io volessi impedire al range da 3 a 76 l' accesso a una interfaccia non potrei farlo con un' unica acl ma dovrebbe essere qualcosa del tipo

Oddio, ho già sentito questi esercizietti osceni ai corsi cisco tipo "impedisci a tutti gli IP dispari di accedere a qualcosa" sono cose che nella pratica sono illogiche, ti faccio sapere comunque.