acl og wildcard

Hvis vi snakker acl i en cisco router, så svarer det til netmasker, der "vender omvendt".
Hvis du f.eks. vil tillade et net, 192.168.1.0 med netmasken 255.255.255.0, skal wilcard'et være 0.0.0.255.
Hvis du har et mere konkret eksempel du har et problem med, så sig til.

Godt så ..... hvorfor skal der stå 0.0.0.255 i wildcard't og hvad skal der stå hvis man eks vil udelukke en bestemt ip fra et bestemt subnet.

lad os antage vi en pc der hedder 192.168.1.100 som har et net der hedder 192.168.1.0/26 ./26 betyder at vi bruger 26 bits til netværket og 6 bits til hostdelen. Det giver så en subnetmaske som hedder 255.255.255.192.

IP: 192.168.1.100
Subnet: 255.255.255.192
Net: 192.168.1.0

I bits ser det sådan ud :

IP: 11000000.10101000.00000001.01100100
Subnet: 11111111.11111111.11111111.11000000
Net: 110000000.10101000.0000001.00000000

Da vi havde 6 bits til hostdelen :
110000000.10101000.0000001.00XXXXXXX

så er de eneste bits vi kan ændre ved de sidste 6. Det betyder at vi i den sidste octet kan lave alt fra 0-127 da de 2 første bists i den sidste octet er sat til 0.

Hvis vi så skulle lave en acl som skulle beskytte hele vores net mod alt traffik udefra via et in-filter så ville vi gøre sådan her:

access-list 1 deny any 192.168.1.0 0.0.0.0.127

Når vi snakker acl så skriver vi 0 i alle de bits som skal være "låst", hvilket gøres modsat til subnetting hvor vi skriver 1 i de bits som er "låst".

Dvs at vi skriver 0 i de første 26 bits, da det jo er vores net, så de skal være 0. (det kunne godt være mindre end 26 bits hvis vi ville lave et filter som inkluderede mere end var vores /26 net. De sidste 6 bits sættes så til 1, hvilket betyder at de bits må være 0 eller 1 i ip-adressen.

Det betyder så at vi nu har lavet et filter som afviser alt traffik til følgende IP-adresser:

110000000.10101000.0000001.00XXXXXXX
(192.168.1.0-127)

Lad os antage at vi på vores segment (net) har 5 web-servere stående (i praksis ville man nok placere dem på en DMZ). I en god IP-planlægning der tager man højde for bits placeringen når man skal tildele IP-adresser til forskelligt slags udstyr. I det her tilfælde er det nogle servere vi snakker om og dem ønsker vi at placerer i et område for dem selv for at gøre det nemmere for os at lave vores acl. Grunden til dette er at vi med vores wildcards kan tage flere IP-adresser på samme tid og derfor ville det være usmart at give vores servere IP-adresser der ligger sammen med vores alm arbejdspc'er. Derfor vælger vi at placerer imellem 192.168.1.8-15, hvilket giver os 8 adresser så har vi 3 ekstra i tilfælde af at vi skulle få brug for en server mere.

Så skal vi lave et filter som tillader HTTP trafik til de 8 adresser. Jeg valgte netop 8 adresser, da du kan lave det med 1 acl.

access-list 101 permit tcp any 192.168.1.8 0.0.0.7 80

wildcard-masken 0.0.0.7 indikere så at det er de 8 adresser som ligger mellem 8-15.

Hvis du vil lave en huskeregel så kan du sige at wildcard værdien skal være det antal host du ønsker at dække ind minus 1.

I det her tilfælde 8 host -1 = 7

Grunden til at det er 7 og ikke 8 er at du med bits jo kan skrive 0 og 1 :

000
001
011
111
110
100
101
010

Hvilket er 8 muligheder men når vi skriver 1 i de 3 bits så giver det 1+2+4=7

Puhaaa ;-)

bit'ene fortæller hvilken del af ip-adressen, der skal "wildcard'es". Hvis du kun vil angive een adresse bliver wildcardet 0.0.0.0, da der ikke er nogen "ligegyldige" bits i ip-adressen. En wildcard 0.0.0.0 svarer til at skrive "host ip-nummer":
access-list 100 deny ip 192.168.1.10 0.0.0.0 any
er det samme som
access-list 100 deny ip host 192.168.1.10 any

Dejlig med en ordenlig beskrivelse ... takker mange gange.

Np, skulle der være en anden gang ;-)