关于ACL的通配符的理解

fucisco

请问ACL的统配符在写的时候是不是要求精确匹配的和任意比配的必须是在一个字节里面是连续的？如（二进制，方便大家看）：
你可以写 0000 0000.0000 0000.1111 0000.1111 1111
但不能写 0000 0000.0000 0000.1001 0000.1111 1111
也就是4个二进制数里面（也就是一个bt里），两个1不能被0隔开
我发现我写192.168.0.0 0.0.5.255 这个匹配的结果相当诧异
192.168.2.0 192.168.6.0 192.168.8.0 192.168.10.0这些没有被匹配（后续没有测试）
但是当我写192.168.0.0 0.0.3.255 这个匹配的结果就是预期，192.168.0.0-192.168.3.0/24

84983251

在ACL中0是 精确匹配  1是任意匹配  他们之中没有 任何顺序可言  也没有被隔开无效的说法
就拿你上面的哪个例子来说  192.168.0.0 0.0.5.255    看后面的通配符换算一下0.0.00000101.255通过这可以得出  红色部分前5位必须是0 第6位和第8位任意 第7位必须是0
那么我再拿你给的几个前缀对比下比如说 192.168.2.0 换算过来就是 192.168.00000010.255  
你可以对比下 他们第7位 我抓的必须是0 但是 192.168.2.0却是 1  这个 当然没匹配上  再来看 192.168.6.0    换算一下就是 192.168.00000110.255   他的第7位也是 1  但是 我抓的倒数第二位必须是0 所以也没匹配上   依次类推
最后可以告诉你 192.168.0.0 0.0.5.255 抓的路由前缀是  192.168.0.0/24 192.168.1.0 192.168.4.0/24 192.168.5.0/24

fucisco

84983251 发表于 2014-11-22 08:58
在ACL中0是 精确匹配  1是任意匹配  他们之中没有 任何顺序可言  也没有被隔开无效的说法
就拿你上面的哪 ...

这个怎么说呢？你有没有实际的去测试过啊。。我是测试过了的，192.168.0.0 通配符0.0.5.255。这个是可以抓到192.168.2.0 192.168.6.0 192.168.8.0 192.168.10.0我暂时只测试到了192.168.10.0的。你可以测试一下的。

84983251

fucisco 发表于 2014-11-22 18:44
这个怎么说呢？你有没有实际的去测试过啊。。我是测试过了的，192.168.0.0 通配符0.0.5.255。这个是可以 ...

不可能的·····这不是测试不测试的问题 你ACL写的肯定有问题   或者你写的是deney 语句  但是你最后没permit导致这些都被过滤掉了

加勒比汉堡

加勒比汉堡

加勒比汉堡

84983251

就给你测试下···看得懂结果吧  跟我理论是一样的

fucisco

84983251 发表于 2014-11-22 19:03
就给你测试下···看得懂结果吧  跟我理论是一样的

好吧。。我贴配置，你实验一下。。。
R1
interface FastEthernet1/0
ip address 12.1.1.1 255.255.255.0
ip access-group 1 in
speed auto
duplex auto
!
interface FastEthernet1/1
no ip address
shutdown
speed auto
duplex auto
!
!
router eigrp 90
network 12.1.1.1 0.0.0.0
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
access-list 1 deny   192.168.0.0 0.0.5.255
access-list 1 permit any

R2
!
interface FastEthernet1/0
ip address 12.1.1.2 255.255.255.0
speed auto
duplex auto
!
interface FastEthernet1/1
ip address 23.1.1.2 255.255.255.0
speed auto
duplex auto
!
!
router eigrp 90
network 12.1.1.2 0.0.0.0
network 23.1.1.2 0.0.0.0


R3
!
interface Loopback0
ip address 192.168.0.1 255.255.255.0
!
interface Loopback1
ip address 192.168.1.1 255.255.255.0
!
interface Loopback2
ip address 192.168.2.1 255.255.255.0
!
interface Loopback3
ip address 192.168.3.1 255.255.255.0
!
interface Loopback4
ip address 192.168.4.1 255.255.255.0
!
interface Loopback5
ip address 192.168.5.1 255.255.255.0
!         
interface Loopback6
ip address 192.168.6.1 255.255.255.0
!
interface Loopback7
ip address 192.168.7.1 255.255.255.0
!
interface Loopback8
ip address 192.168.8.1 255.255.255.0
!
interface Loopback9
no ip address
!
interface FastEthernet0/0
no ip address
shutdown
duplex full
!
interface FastEthernet1/0
no ip address
shutdown
speed auto
duplex auto
!         
interface FastEthernet1/1
ip address 23.1.1.3 255.255.255.0
speed auto
duplex auto
!
!
router eigrp 90
network 23.1.1.3 0.0.0.0
network 192.168.0.0 0.0.255.255

fucisco

84983251 发表于 2014-11-22 19:03
就给你测试下···看得懂结果吧  跟我理论是一样的

另外我在WEB IOU上和GNS3上的测试结果不一样，后面有机会的话，我会在真机上做

fucisco

84983251 发表于 2014-11-22 19:03
就给你测试下···看得懂结果吧  跟我理论是一样的

如果你在WEB IOU上做这个实验，你立马会发现差别。另外，我觉得，IOU要比GNS3可靠，明天我尽量拿真机测，然后发图

84983251

fucisco 发表于 2014-11-22 23:29
如果你在WEB IOU上做这个实验，你立马会发现差别。另外，我觉得，IOU要比GNS3可靠，明天我尽量拿真机测， ...

不用发了  我知道原因了  你先回去好好复习 把路由和流量这2个东西分清楚了再来做这个实验   ACL能过滤路由吗？ 我只想问你 ·····     EIGRP发送的是组播报文  源IP是发送接口的单播地址  目标IP是224.0.0.10  你的ACL 写了对这样的条目有何意义？

fucisco

84983251 发表于 2014-11-23 01:46
不用发了  我知道原因了  你先回去好好复习 把路由和流量这2个东西分清楚了再来做这个实验   ACL能过滤路 ...

额。。。。好吧，你没搞清楚我的配置啊，。我知道控制路由是分发列表。。我是在端口上写的ACL阻止。不过，我今天没有机会用真机实验，但是我换了好几个IOU，最后测试发现是我的IOU有BUG，所以，非常感谢你的指正。还望以后有机会的话， 多多帮助。谢谢啦。

baidusb

本来一个很简单的问题，却被楼主自己高深化了。
0表示比较，1是不比较或忽略。
同意@84983251 的见解

fucisco

baidusb 发表于 2014-11-23 19:26
本来一个很简单的问题，却被楼主自己高深化了。
0表示比较，1是不比较或忽略。
同意@84983251 的见解

哎。偶尔碰见了一个测试，刚巧又遇到了BUG，让我情何以堪啊。