Standard ACLs only
allow you to match
source IP addresses based on “base” IP
address and wildcard mask. Because of that “aggregate” behavior, standard ACLs
are commonly configured at network nodes close to the “protected” object. One
very common task is finding a required “base” IP address and wildcard mask pair
based on set of requirements. Let us look at three different examples to
illustrate how they could be solved.
Ví dụ 1: Configure the IP/Wildcard Mask pair to
match IP addresses in subnets 155.1.Y.0/24 where Y is an even number and is
greater than or equal to 1 and less than or equal to 6.
Bước 1:
|
2=00000010
|
|
4=00000100
|
|
6=00000110
|
Bước 2: Tìm "bit vector" so sánh với các giá trị, những bit nào thay
đổi thì cho bằng 1, bit không thay đổi cho bằng 0.
=> m=0000110=6
Đây chính là
wildcard mask cho giá trị octet thứ 3 thỏa mãn: 0.0.6.255
Bước 3: Tìm "base" dùng thuật toán
AND.
=> 2 AND 4 AND 6 AND = 0
Là giá trị bit thứ 3. 155.1.0.0
Kết quả access-list cần tìm : permit 155.1.0.0
0.0.6.255
Ví dụ 2: Configure the IP/Wildcard Mask pair to
match IP addresses in subnets 155.1.Y.0/24 where Y is an odd number and is
greater than or equal to 1 and less than or equal to 6.
Bước 1:
|
1=00000001
|
|
3=00000011
|
|
5=00000101
|
Bước 2: Tìm "bit vector" so sánh với các giá trị, những bit nào thay
đổi thì cho bằng 1, bit không thay đổi cho bằng 0.
=> m=0000110=6
Đây chính là
wildcard mask cho giá trị octet thứ 3 thỏa mãn: 0.0.6.255
Bước 3: Tìm "base" dùng thuật toán
AND.
=> 1 AND 3 AND 5 AND = 1
Là giá trị bit thứ 3. 155.1.1.0
Kết quả access-list cần tìm : permit 155.1.1.0
0.0.6.255
No comments:
Post a Comment