Chào các bạn,
Dưới đây là tài liệu tôi đã dùng khi hướng dẫn các học viên, các bạn tham khảo và nếu thiếu sót gì mong được bổ sung :



Access Control Lists - Wildcard Masks

Quy luật để tạo ra WC Masks
32 bit của WCM chĩ chứa 0 và 1 với quy ước:
a 1 là bỏ qua.
b 0 là kiểm tra.


1. TO MATCH A HOST
Cho tất cả các bit là 0.

Với Standard Access-list

Access-list 1 permit 186.145.65.12 0.0.0.0
hoặc
Access-list 1 permit 186.145.65.12 (standard access lists sẽ thừa nhận như 0.0.0.0 mask)

Với Extended Access-lists

Access-list 101 permit ip 186.145.65.12 0.0.0.0 any
hoặc
Access-list 101 permit ip host 186.145.65.12 any



2. MATCH AN ENTIRE SUBNET
Wildcard mask = 255.255.255.255 – the subnet mask

Vd 1
Given 42.64.86.0 subnet mask 255.255.255.0
255.255.255.255 - subnet mask 255.255.255.0 = Wildcard mask 0.0.0.255

Access-list 1 permit 42.64.86.0 0.0.0.255

Vd 2
Given 202.22.66.99 subnet mask 255.255.255.240
255.255.255.255 - subnet mask 255.255.255.240 = Wildcard mask 0.0.0.15

Access-list 1 permit 202.22.66.99 0.0.0.15

Vd 3
Given 55.66.77.0 subnet mask 255.255.224.0
255.255.255.255 - subnet mask 255.255.224.0 = Wildcard mask 0.0.31.255

Access-list 1 permit 55.66.77.0 0.0.31.255

Vd4
Given 211.95.32.128 subnet mask 255.255.255.248
255.255.255.255 - subnet mask 255.255.255.248 = Wildcard mask 0.0.0.7

Access-list 1 permit 211.95.32.128 0.0.0.7


3. MATCH A RANGE (Thông qua một range IP cụ thể)

Để tìm WCM ta lấy IP cao nhất trừ IP thấp nhất của range:

Vd 1
Match the range from 132.43.48.0 to 132.43.63.255
132.43.63.255 - 132.43.48.0 = Wildcard mask 0.0.15.255

Access-list 1 permit 132.43.48.0 0.0.15.255

Vd 2
Match the range from 132.43.16.32 to 132.43.31.63
132.43.31.63 - 132.43.16.32 = Wildcard mask 0.0.15.31

Access-list 1 permit 132.43.16.32 0.0.15.31





4. MATCH EVERYONE
Access-list 1 permit any
or
Access-list 1 permit 0.0.0.0 255.255.255.255




Bài tập :
1) Viết một ACLs cấm tất cả các ip chẵn của mạng 192.168.1.0/24 không được truy cập http.
2) WCM : 0.0.0.0 255.255.255.0 có nghĩa gì ?

Chúc các bạn vui vẻ!

1) Viết một ACLs cấm tất cả các ip chẵn của mạng 192.168.1.0/24 không được truy cập http
acc-list 101 deny tcp 192.168.1.0 0.0.0.254 any eq 80

em tuong la access-list 101 deny ip 192.168.1.0 0.0.0.1 any eq 80
access-list 101 permit ip any any
con cau duoi em chua clear lam,mong moi nguoi giai dap

1) Viết một ACLs cấm tất cả các ip chẵn của mạng 192.168.1.0/24 không được truy cập http
acc-list 101 deny tcp 192.168.1.0 0.0.0.254 any eq 80
* 254 = 11111110 . Bit 1 bỏ qua, bit 0 check.
* các IP chẵn sẽ có bit cuối cùng là 0.
--> các IP nào là chẵn, sẽ có bit cuối cùng là 0, và WCM check bit 0 cuối, sẽ match với những IP chẵn. -->> deny IP chẵn

2) WCM : 0.0.0.0 255.255.255.0 có nghĩa gì ?
Trừ các host có subnet mask /24. còn lại match hết.
VD: Không match 192.168.1.1/24
Match 192.168.1.1/26

to anh luancb: lam on cho em hoi them voi;neu cung mang 192.168.1.0/24 ma cam cac goi co ip le hoac chi cho cac goi ip le di qua thi minh can may access-list voi widecardmask nhu the nao a?,cam on

sửa lại thành:
acc-list 101 permit tcp 192.168.1.0 0.0.0.254 any eq 80
Như vậy cho phép IP chẵn qua, deny lẻ. ( nhớ thêm dòng deny ở cuối acc-list nhé)
* cho IP lẻ thì đã nêu ở trên đó bạn, deny IP chẳn, tức là permit IP lẻ !!!!

Trừ các host có subnet mask /24. còn lại match hết.
VD: Không match 192.168.1.1/24
Match 192.168.1.1/26
WCM : 0.0.0.0 255.255.255.0 có nghĩa gì ?

Chào các bạn,
Thực sự bài tập 2 chính là một bài tập dành cho CCNA nhưng có khi CCNP cũng nhầm lẫn do không hiểu rỏ về khái niệm WildCard Masks.
Giả sử như sau cho các bạn dễ hình dung :
192.168.1.0 0.0.0.255 ta thấy rằng 3 octec đầu được check nên sẽ không thay đổi có nghĩa là 192.168.1 sẽ không đổi trong suốt range 192.168.1.1 - 254/24.
Ta áp dụng điều này với bài tập trên , 0.0.0.0 255.255.255.0 có nghĩa là nó sẽ match cho những IP nào có dạng x.y.z.0 (với 0<=y,z<=255, 0<x<=255) như vậy có nghĩa là 10.0.3.0 sẽ là một ví dụ cho bài tập trên.
Điều đặt ra là với 10.0.3.0 thì nó là địa chỉ mạng hay là host ?
Mời các bạn thảo luận tiếp , hãy tin rằng bài tập trên các bạn có khi sẽ gặp trong những kỳ thi quan trọng đó.

Chúc các bạn vui vẻ.

Anh phuc có thể nói thêm về câu 2 đc hok ?

Hôm nay mới thấy kiểu wildcard mask này. Hay thiệt ha. Cám ơn anh Phúc. Ảo diệu ờ chỗ này. Ngày xưa cứ thắc mắc là tai sao ngừoi ta không xài subset mask không thôi còn wild card mask làm chi cho rắc rối. Bây giờ mới hiểu cái ảo diệu của wildcard masks

cám ơn A Phúc

Vd 2
Match the range from 132.43.16.32 to 132.43.31.63
132.43.31.63 - 132.43.16.32 = Wildcard mask 0.0.15.31
Access-list 1 permit 132.43.16.32 0.0.15.31

Hi!
Tôi thấy rằng ví dụ 2 đưa ra chưa rõ và gây hiểu nhầm
132.43.16.32 0.0.15.31 là cặp địa chỉ IP và Wildcard Mask đại diện cho 16 dải địa chỉ không liên tục sau:
132.43.16.32, 132.43.16.33, 132.43.16.34, …. , 132.43.16.62, 132.43.16.63
132.43.17.32 – 132.43.17.63
132.43.18.32 – 132.43.18.63
….
132.43.30.32 – 132.43.30.63
132.43.31.32 – 132.43.31.63
hay 132.43.[16-31].[32-63]
Wildcard mask đối xử với các bit và các octet hoàn toàn độc lập với nhau.

Bài tập bạn đưa ra tôi giải như sau:
1.
access-list 101 deny tcp 192.168.1.0 0.0.0.254 any eq web
access-list 101 permit ip any any
2.
Ý nghĩa của cặp IP/WCM 0.0.0.0 255.255.255.0
Cặp này đại diện cho tất cả các địa chỉ IP có octet thứ 4 bằng 0.
Địa chỉ này có thể là:
- 1 địa chỉ mạng : 192.168.1.0/24
- 1 địa chỉ mạng con : 172.16.1.0/28
- 1 địa chỉ host : 10.0.1.0/20

WCM : 0.0.0.0 255.255.255.0 có nghĩa gì ?

Chào các bạn,
Thực sự bài tập 2 chính là một bài tập dành cho CCNA nhưng có khi CCNP cũng nhầm lẫn do không hiểu rỏ về khái niệm WildCard Masks.
Giả sử như sau cho các bạn dễ hình dung :
192.168.1.0 0.0.0.255 ta thấy rằng 3 octec đầu được check nên sẽ không thay đổi có nghĩa là 192.168.1 sẽ không đổi trong suốt range 192.168.1.1 - 254/24.
Ta áp dụng điều này với bài tập trên , 0.0.0.0 255.255.255.0 có nghĩa là nó sẽ match cho những IP nào có dạng x.y.z.0 (với 0<=y,z<=255, 0<x<=255) như vậy có nghĩa là 10.0.3.0 sẽ là một ví dụ cho bài tập trên.
Điều đặt ra là với 10.0.3.0 thì nó là địa chỉ mạng hay là host ?
Mời các bạn thảo luận tiếp , hãy tin rằng bài tập trên các bạn có khi sẽ gặp trong những kỳ thi quan trọng đó.

Chúc các bạn vui vẻ.


Theo em hiểu thì câu 2 sẽ filter tất cả các subnetwork có SNM = 255.255.255.0 , còn lại các usable host address sẽ bỏ qua. Vậy thì 10.0.3.0 sẽ là địa chỉ mạng được ACL filter. Có gì anh Phúc góp ý thêm ^^