求助 wildmask 的問題

super1ray

各位先進你們好： 想請教大大幫忙 有一standard ACL 如下： access-list 2 permit 10.10.0.10 access-list 2 pdeny 10.10.0.0 0.0.255.255 access-list 2 permit 10.0.0.0 0.255.255.255 interface FastEthernet 0/0 ip access-group 2 in 在第一條的ACL 我怎得知它是哪一個 wildmask. 我只知道它是一個 IP. 因為在正確答案里提到，From the 10.10.0.0 subnet, only traffic sourced from 10.10.0.10 is allowed; traffic sourced from the other 10.0.0.0 subnet also is  allowed. 所以代表 10.10.0.10 的 wildmask 也是 0.0.255.255? 如何判斷？ 謝謝大大指教

dingjerry

super1ray 发表于 2015-8-31 13:58
謝謝大大的時間幫忙找文件。以上你說的我了解的。
10.10.0.10 是一個 IP在0.0.0.0 wildmask.

1） 你没有把答案选项写出来；
2） 你提到的一点答案的信息里没有说它是来自于0.0.255.255 wildmask；
3）我想你把wildmask 和 submask给搞混了。

OK，首先， traffic过来的时候， 是没有submask信息的。submask只是本地有效，只是让本地那台设备知道如何判断过来的traffic的目的IP是否和本地IP是同一网段。 不同的结果导致本地设备有不同的方法去得到目的IP的MAC地址，然后把traffic送到下一跳。 有点扯远了。

Access list可以抓路由，也可以抓数据。 抓路由就不提了。抓数据的时候呢，是判断源地址的。

简单点说，wildmask是判断某个范围的IP。

所以呢，你的题目里的第一条access list是说允许10.10.0.10/32这个主机地址；
第二条access list 是说不允许10.10.x.x这种样式的IP地址。 换句话说，整个10.10.0.0-10.10.255.255这个范围的IP地址，除了10.10.0.10被允许，其它的都被拦截了。

因为access list默认是拦截所有的，所以第三条是允许10.0.0.0/8这个范围的IP地址。没有这条，所有的IP都被拦截了。

alex9331

缺省情况下，默认为: host 10.10.0.10

dingjerry

在这个Cisco的官方文档里说到：

http://www.cisco.com/c/en/us/sup ... sslists.html#topic2

The wildcard can be omitted if it is all zeros.

也就是说， 如果没有wildcard mask， 默认就是 0.0.0.0， 也就是access-list里的整个IP地址全部要符合。

super1ray

dingjerry 发表于 2015-8-29 00:52
在这个Cisco的官方文档里说到：

http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/236 ...

謝謝大大的時間幫忙找文件。以上你說的我了解的。
10.10.0.10 是一個 IP在0.0.0.0 wildmask.

我想要明白的是，正確答案說它是一個來自於 0.0.255.255 wildmask, 也就是屬於255.255.0.0的netmask。
如何得知的？我不能說它是屬於 0.255.255.255 的嗎？

super1ray

謝謝您大大，才疏學淺，見笑了。
我明白了這題目。

另外一提，想請教大大：若是不同的網段，但是互ping 對方IP，允許的對吧？

dingjerry

super1ray 发表于 2015-9-1 13:03
謝謝您大大，才疏學淺，見笑了。
我明白了這題目。

你是说连在同一个交换机上但是没有网关的情况么？ 如果是这样的话，Ping不同，因为没法得到对方的MAC 地址。