Pagina 1 di 1
Aiuto su wildcard mask
Inviato: mar 30 gen , 2007 2:50 pm
da lemonade
ciao a tutti,
come da oggetto, c'è qualche anima pia che mi sa spiegare in maniera comprensibile come caspita funzionano le wildcard mask?
Sto iniziando a studiare le ACL dal curriculum, ma sulle wildcard mi sono un pò arenato.
Fate conto di doverlo spiegare a vostra zia
Inviato: mar 30 gen , 2007 3:47 pm
da Roberto82
google è pieno di documenti in merito
Inviato: mar 30 gen , 2007 4:09 pm
da lemonade
E' mia abitudine cercare sul web prima di chiedere sul forum, non ho trovato nulla a parte pochissimi esempi scopiazzati da un sito all' altro.
Inviato: mer 31 gen , 2007 7:44 am
da andrewp
La wildcard mask, detta in parole povere è una subnet mask "al contrario", prendi ad esempio una classica classe B:
255.255.0.0 la sua wildcard sarà 0.0.255.255
ora una classe C:
255.255.255.0 sarà 0.0.0.255
E fino a qui, credo che anche tu ci fossi...dov'è la complicazione? Nel "girare" mentalmente subnet più strette:
255.255.255.240
per girare una subnet del genere Cisco insegna un piccolo trucco, togliere l'ultimo valore al massimo che è 255, quindi 255-240=15 quindi, la relativa wildcard sarà:
0.0.0.15
Ora, non ti resta che trasportare il ragionamento in bit:
Subnet Mask 255.255.255.240 -> 11111111.11111111.11111111.11110000
WildCard Mask -> 00000000.00000000.00000000.00001111
Trasformando, infatti, gli ultimi 1111 in decimale viene 8+4+2+1= 15
Spero di essere stato chiaro, ho lavorato la notte non so se mi sono espresso al meglio
Inviato: mer 31 gen , 2007 8:33 am
da lemonade
Sei stato chiarissimo e ti ringrazio per la risposta.
Da quello che mi sembra di capire, se io applico la wildcard mask del tuo esempio (0.0.0.15) all' indirizzo 192.168.0.0 e la "do in pasto" ad una ACL, quest ultima "processerà" tutti gli indirizzi da 192.168.0.0 a 192.168.0.15, essendo 4 i bit posti a 1 nella wildcard mask e che quindi verranno ignorati dalla ACL.
E se invece io volessi per esempio controllare con una ACL il range da 192.168.0.3 a 192.168.0.76?
Inviato: mer 31 gen , 2007 1:48 pm
da active
Sperando di non dire ca@@ate penso tu abbia bisogno di una /25, quindi 0.0.0.127 in wildmask.
Inviato: mer 31 gen , 2007 2:59 pm
da lemonade
mmh, se non erro se scrivo 192.168.0.3 0.0.0.127, dico all' ACL di controllare gli indirizzi da 192.168.0.0 a 192.168.0.127... io voglio controllare da 192.168.0.3 a 192.168.0.76
Inviato: mer 31 gen , 2007 8:10 pm
da active
Purtroppo per andare da 3 a 76 devi gestirti un pool di 128 indirizzi (126 effettivamente utilizzabili).
Inviato: mer 31 gen , 2007 8:23 pm
da lemonade
quindi ponendo il caso che con questa ACL io volessi impedire al range da 3 a 76 l' accesso a una interfaccia non potrei farlo con un' unica acl ma dovrebbe essere qualcosa del tipo:
permit 192.168.0.1
permit 192.168.0.2
permit 192.168.0.77
.
.
.
permit 192.168.0.255
deny 192.168.0.0 0.0.0.127
giusto?
o non ho capito un tubo?
Inviato: gio 01 feb , 2007 1:21 am
da andrewp
lemonade ha scritto:Sei stato chiarissimo e ti ringrazio per la risposta.
Da quello che mi sembra di capire, se io applico la wildcard mask del tuo esempio (0.0.0.15) all' indirizzo 192.168.0.0 e la "do in pasto" ad una ACL, quest ultima "processerà" tutti gli indirizzi da 192.168.0.0 a 192.168.0.15, essendo 4 i bit posti a 1 nella wildcard mask e che quindi verranno ignorati dalla ACL.
4 bit -> 2 elevato alla 4 - 2 -> 192.168.0.0 a 192.168.0.14
lemonade ha scritto:quindi ponendo il caso che con questa ACL io volessi impedire al range da 3 a 76 l' accesso a una interfaccia non potrei farlo con un' unica acl ma dovrebbe essere qualcosa del tipo
Oddio, ho già sentito questi esercizietti osceni ai corsi cisco
tipo "impedisci a tutti gli IP dispari di accedere a qualcosa"
sono cose che nella pratica sono illogiche, ti faccio sapere comunque.