Minh chua hieu lam ve wildcard ban nao biet chi minh voi?
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:
192.168.4.0 -7.0 la 0.0.3.255
192.168.8.0-9.0 la 0.0.1.255
Neu dia chi la 192.168.4.0-15.0 thi wildcard la:
4.0-7.0 la 0.0.3.255
8.0-15.0 la 0.0.7.255
Ban nao co the giai thich cho minh biet duoc khong?

huynh nên xem thêm sách để hiểu rõ hơn ,còn theo thiển ý của đệ thì :wildcard hay còn gọi là reverse mask dùng trong cấu hình access-list ,vì là reverse nên nó có cách sử dụng trái với subnet mask,với wildcard cứ bit nào là 0 thì sử dụng bit đó còn bit nào là 1 thì bỏ wa,xin được chỉ bảo thêm

hic cái này mình cũng không nắm chắc lắm, nhưng Sybex chỉ như vầy:
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:


192.168.9.0
-
192.168.4.0

= 0 . 0 .5.255

mọi người hướng dẫn thêm với :|

hi! :D
Wildcard mask la mot so co 32 bit duoc chia lam 4 octet.

1 bit Wildcard mask co the la bit 0 hay bit 1.
------------------neu 1 bit trong Wildcard mask =0 thi kiem tra (check) bit tuong ung trong dia chi IP.
------------------neu 1 bit trong Wildcard mask =1 thi khong kiem tra (ignore) bit tuong ung trong dia chi IP.

VD: tai octet cuoi cung
Wildcard mask 00001111
IP---------------10110000
ACL se xet 4 bit dau, va bo qua 4 bit sau.

Wildcard mask di kem voi 1 dia chi IP hoac 1 tam dia chi IP.
ACL ap dung tren 1 interface se dung Wildcard mask de "deny" hay "permit" 1 dia chi IP hoac 1 tam dia chi IP do.
Trong truong hop cua ban:
*tam IP 192.168.4.0-192.168.7.0
---tuc trong pham vi tu net 192.168.4.0 den net 192.168.7.0
---ro rang, 2 octect dau tien phai check.
---octect cuoi la phan dia chi host thi ignore ( chu y: day la dia chi lop C)
---chi can xem xet octect thu 3.
-------------tu 000001 00
-----------den 000001 11
--->de Wildcard mask che phu vung nay thi: 6 bit dau check, 2 bit sau ignore ( tuc 00000011)
>>>>Vay: Wildcard mask se la: 0.0.3.255
CAC BAN CUNG GOP Y VOI MINH NHE

chào các bạn,

theo mình biết thì wildcard mask là được dùng cho việc config router access-list, nó được dùng như là "address filter" cho access-list. Tùy theo mục đích đặt access-list mà bạn có wildcard tương ứng

Vi du

192.168.4.0 -7.0 la 0.0.3.255

cái wildcard mask này có ý nghĩa là chỉ xét các packet co địa chỉ mạng từ 4.0 trở đi thôi,ignore các packet có network address 1.0,2.0 và 3.0

Thân chào

Xin các bạn chỉ cách tính WILDCARD, có chương trình nào tính được như vậy không?
Xin hỏi WILDCARD của 192.168.1.19 đến 192.168.1.99 là bao nhiêu?
Và xin crack của BOSON ROUTER TESTS 5.11.
Chân thành cảm ơn!

Bạn đọc thử bài này xem sao,
http://www.vnpro.org/forum/viewtopic.php?t=1102

Nếu không rõ lắm thì bạn cứ hỏi tiếp :)

Thanks,

Neo ơi,
Không thể dùng one-line trong ACL cho VD trên, đúng không???
Với cách tính Neo hướng dẫn mình tính cho range 19-99 thì kết quả là:
Subnet: 192.168.1.0
Wildcard: 192.168.1.127(0.0.0.127 mới đúng)
trùng với block size 128.
Như vậy, wildcard này cho cho phép luôn cả range 192.168.1.1-18 và 192.168.1.100-127.
Có filter cho đúng range 19-99 và chỉ các host trong range đó hay không?
Mong Neo chỉ giúp.
Cám ơn Neo vì bài viết rất bổ ích về cách tính Subnet và Wildcard :roll:

Bài viết của NEO hay. Nhưng một lần nửa cũng academy :D.
Wildcard của bạn gì xai rồi. Phải là 0.0.0.127 mới đúng.

Tình wildcard cho 1 range, trước tiên xác định range đo thuộc subnet nào, sau đó tính ra subnet mask của subnet đó, cuối cùng là lấy 255.255.255.255 - xxx.xxx.xxx.xxx với xxx.xxx.xxx.xxx là subnet mask của subnet cần tính.'

Tình huống bạn đưa ra rất hay, đang suy nghỉ, nhưng có vẻ như .... là impossible.

Theo mình nghĩ thì chỉ có cách là hạn chế số filter của wildcard chứ không thể nào chỉ có đúng 1 filter cho trường hợp trên. Có thể dùng cách là có gắng tìm ra những địa chỉ trong dãy trên thuộc đúng subnet => wildcard cho nó, các Ip còn lại tiếp tục hạn chế. Không biết có được không nhỉ.

Cám ơn TGA,
Mình gõ sai. Wildcard đúng phải là 0.0.0.127.

Một mẹo khi đi thi.

Chẳng hạn bạn gặp câu hỏi :

Tính wild card cho range sau đây : 101.203.16.0 -> 101.203.31.255, bạn có thể tính nhanh bằng cách lấy số sau là .31.255 trừ đi số đầu là 16.0 là ra .15.255 :).

Các Bạn xem thêm TCP/IP Access-List Wildcard Masks ở đây:

http://www.vnpro.org/forum/viewtopic.php?p=10325#10325

-------------
Chúc vui vẻ!
BlackMoon

Mình có xem cách tính Wild Card của các bạn chỉ trên diển dàn nhưng sao có nhiều ý kiến quá ! Các bạn chỉ giúp mình 1 cách tính Wild Card chinh xác nhất nha !!!

Nhưng TGA ơi theo mình thì chỉ với những range có tính liên tục và đầy đủ thì mới tính theo cách trừ như vậy được thôi chứ , nếu với những range không liên tục hay không đầy đủ thì cách đó sẽ không có hiệu quả đúng không

:?:

Hi, apology nói đúng đó!
Mình có một số ý muốn trình bày như sau:

1- Ví dụ để filter mạng 192.168.4.0 đến 192.168.9.0 như bài viết http://vnpro.org/forum/viewtopic.php?t=1383 thì cách tính wildcard là:
192.168.4.0 -> 192.168.00000100.0
192.168.5.0 -> 192.168.00000101.0
192.168.6.0 -> 192.168.00000110.0
192.168.7.0 -> 192.168.00000111.0
192.168.8.0 -> 192.168.00001000.0
192.168.9.0 -> 192.168.00001001.0

Đối với mạng 4.0-7.0 thì 2 bit cuối thay đổi nên sẽ no match nên mang giá trị wildcard là 0.0.00000011.11111111 -> 0.0.3.255
Vậy Wildcard cho 192.168.4.0 -7.0 là 0.0.3.255

Đối với mạng 8.0-9.0 thì 1 bit cuối thay đổi nên sẽ no match nên mang giá trị wildcard là 0.0.00000001.11111111 -> 0.0.1.255
Vậy wildcard cho 192.168.8.0-9.0 là 0.0.1.255

2- Cách tính one-line-filter như bài viết http://www.vnpro.org/forum/viewtopic.php?t=1102 chỉ có hiệu quả đối với các mạng rời rạc.
Ví dụ như bài trên thì sẽ ra wildcard là 0.0.13.255 tức là sẽ lọc các mạng có dạng 192.168.0000xx0x.0.
Cụ thể là chỉ filter các mạng 192.168.0.0, 1.0, 4.0, 5.0, 8.0, 9.0, 12.0, 13.0 nên cũng không thoả yêu cầu.

3- Cách tính như theo Boson của BlackMoon, hay Sybex của yuna là lấy giá trị cuối trừ giá trị đầu: 9-4=5 -> wildcard là 0.0.5.255 cũng không thoả yêu cầu.


Trở lại bài toán ban đầu:


Xin các bạn chỉ cách tính WILDCARD, có chương trình nào tính được như vậy không?
Xin hỏi WILDCARD của 192.168.1.19 đến 192.168.1.99 là bao nhiêu?


Liệu có thực hiện được thêm 1 số yêu cầu như sau hay không:

1. Permit các host có IP chẵn
2. Deny các host có IP lẻ
3. Permit host có IP chia hết cho 4
4. Permit host có IP chia hết cho 4 nhưng không chia hết cho 8
5. Deny host có IP chia hết cho 4 nhưng không chia hết cho 8
...

Dĩ bất biến ứng vạn biến!
Mời mọi người đóng góp ý kiến,
Cheers,

Bạn xem thử thread này http://www.vnpro.org/forum/viewtopic.php?t=1803

Bạn có thể, có thể thôi, xem thêm ở đây nhé!
http://www.vnpro.org/forum/viewtopic.php?t=1987

--------
Chúc mọi người vui vẻ!
BlackMoon

Hi,
Mình xin lưu ý các bạn, khi cần tính wildcard cho một range, các bạn có thể trừ như itmanvn. Sau đó kiểm tra lại kết quả.
Nếu tất cả các octet khác không, bằng 2 mũ x trừ 1 thì mới đúng. (VD: 1,3,7,15,31,63....)
Trong VD của bạn itmanvn kết quả 0.0.5.255 là sai rồi (Octet thứ 3 vi phạm điều kiện nêu trên).
Trong các bài tính wildcard, đôi khi đề bài đánh lừa như VD này đấy!!! :o
Thân chào :idea:

Mình nghĩ là bạn nên xem cách tính chuẩn tắc ở đây:
http://vnpro.org/forum/viewtopic.php?t=1102
Sau đó, bạn sẽ hiểu tất cả các cách tính khác mọi người nêu trong diễn đàn. Đó là các cách tính nhanh thôi. Bạn hiểu bản chất cách tính rồi thì lúc tính nhanh sẽ không bị sai.
Hy vọng bài viết của mình giúp được bạn chút ít.
Thân chào

Lâu rồi không có ai trả lời,

Giải lại bài toán ban đầu, filter các máy từ 192.168.1.19 đến 192.168.1.99

19 -> 0001 0011
31 -> 0001 1111
=> Subnet 192.168.1.16 Mask 0.0.0.15

32 -> 001 00000
63 -> 001 11111
=> Subnet 192.168.1.32 Mask 0.0.0.31

64 -> 010 00000
95 -> 010 11111
=> Subnet 192.168.1.64 mask 0.0.0.31

96 -> 011000 00
99 -> 011000 11
=> Subnet 192.168.1.96 mask 0.0.0.3

Kế tiếp đối với các máy có IP lẻ thì có bit cuối là 1, IP chẵn có bit cuối là 0, giả sử ta xét range 32-63: (Subnet 192.168.1.32 Mask 0.0.0.31)

32 -> 001 00000
34 -> 001 00010
35 -> 001 00110
38 -> 001 01110

62 -> 001 11110

Mask 0.0.0.00011110

=> Subnet 192.168.1.32 Mask 0.0.0.30

Các trường hợp khác thì sao :roll:

:D
:D Hi hi, mình xin có một số vấn đề về Wildcard sau đây, chắc là có những điểm còn thiếu sót, mong các members giúp mình nhé ! Thanks. Cheers .

Một số vấn đề về Wildcard :

1/ Ý nghĩa :
Dùng để router lọc (filter) những địa chỉ IP theo ý muốn. Quá trình lọc theo mình có thể hiểu như thế này, không biết có đúng hay không nữa:
- Check :Router biết sẽ nên check những bits nào, để từ đó xáx định đúng đối tượng mà Router muốn permit or deny.
- Mình lấy thí dụ : net: 172.168.16.0/24 : muốn "để ý" đến ip này thì Router cần phải check những bit nào từ một rừng ip send tới Router :( hic hic ...
- Mình sẽ quay lại vấn đề : làm thế nào để Router biết chọn những bit nào để kiểm tra một rừng bit và lọc ra một/một số ip addr cần thiết. Administrator sẽ trực tiếp ghi những số WC này để chủ động "kêu" Router "mày hãy chọn ra cho tao những thằng ip này này .... " (hoặc có thể sẽ có một cơ chế/ chương trình lọc dynamic nào đó cấp cao hơn, ko cần ngồi tính và gõ trực tiếp wildcard )
Cuối bước này, một nhóm các đối tương ip đã được router chọn ra , "khoanh vùng" theo lệnh của admin ;)
- Sau khi đã "chọn ra những thằng ip cần thiết" theo yêu cầu của admin, admin sẽ chủ động ra lệnh "Router, mày hãy permit (or deny) những thằng đó nhé !"

- Chi tiết về permit/deny , in/out ........ sẽ được bàn ở lần sau nhé, đại khái là admin "kêu" router hãy cho phép những thằng đó (những thằng ip mà router vừa mới "khoanh vùng") qua/ko qua Router, qua/ko qua Serialx/Ethernetx,...

- Xong vấn đề thứ nhất, hi hi hi.

2/ Vấn đề lúc nãy tôi nói là sẽ quay lại sau: làm cách nào mà Router biết chọn những bit nào để khoanh vùng, chọn lọc theo ý muốn của admin. Có 2 cách :
a) Dynamic cấp cao gì gì đó thì minh ko biết, có thể mình ghi tiếng Việt luôn :"Tui cần lọc thằng ip: 172.168.9.0/24 !" thì sẽ có 1 chương trình translate câu đó sang code / command cho thằng Router hiểu. Nhưng giỡn thui, cái này còn "thai về tương luộc" á !!!! :((( ??

(đáp án: thuộc về tương lai ) :) :) :) hihihi


b) Vấn đề lớn : Admin sẽ tự translate ý đồ của mình sang command và hắn (admin) gõ vô cho router. Vậy, bằng cách nào mà thằng admin tính được wildcard thỏa mãn ý đồ của hắn ??? Nghĩa là : cách tính wildcard như thế nào ???? : tôi sẽ trình bày (sơ sơ, tại tui cũng mới vừa đọc qua tức thì ! ;( ) :

ý niệm admin :
+ Lọc 1 khoảng ip , vd, lọc từ 172.168.3.0/24 đến tận 172.173.67.0/24 (ip sau > ip đầu ). Gọi là lọc liên tục.
+ Lọc Rời rạc, vd như lọc thằng net 123.12.5.0/24 và thằng net 154.174.73.0/24 .

Rồi, vậy là : lọc liên tục và lọc rời rạc, 2 vấn đề.

a.1) Lọc liên tục :
- Lọc liên tục đây đủ: vd: "tui" muốn lọc từ mạng 172.168.32.0/24 -> mạng 172.168.63.0/24.

Dạng đầy đủ : lưu ý phần khác nhau giữ 2 ip trên
hãy để ý con số 32 -> 63 : lọc liên tục đầy đủ thì những con số ở
dạng đó (mô hờ ? (mơ hồ), ko seo, tiếp tục nè )
32 : 100000 (1 + toàn số 0 - lưu ý, có thể có số 1 tiếp theo trong TH khác, nhưng đó là phần giống nhau) (hơi khó hiểu) ( 6 bits)
63= 111111 (toàn số 1). (6 bit luôn, phải = 6 bit ở trên -vì sao ư? hãy tiếp tục !)
Đầy đủ -> phải ở dạng đó ! vì sao gọi là đầy đủ ? vì nó vét vừa đủ : (vét vừa đủ là sao ? đọc tiếp : )

giải:

172.168. 001 | 00000 .0
172.168. 001 | 11111 .0

để ý : 00000 -> 00001 -> 00010 -> 00011 ->00100 -> ........->
->....-> 11111 . Bđ : 00000, kthúc : 11111. (đầy đủ + bằng số bit+ liên tục )
Đây là câu trả lời của những thắc mắc trên.


octec (chữ octec viết vầy đúng ko ta ?) thứ 3 có 5 bit cuối khác nhau, và chạy trên 1 khoảng đầy đủ -> not care những bit này (tức là ko cần kiểm tra, cứ để vét cạn từ 00000 -> 11111.)

2 octec đầu và 3 bit kế giống nhau, net id giống nhau cho tất cả -> phải check những bit này.

"router" quy ước : check = 0, not care : =1. Như vậy ta được :

octec cuối của host . Vì admin muốn lọc net nên phần host là vét cạn, ko chừa thằng nào từ 00000000 -> 11111111 => not care, cứ để vét cạn.

172.168. 001 | 00000 .0
172.168. 001 | 11111 .0
---------------------------------------
0 .0 . 000 | 11111. 11111111

hay 0.0.31.255 Đây chính là Wildcard thỏa ý đồ admin .

(nhắc lại : ý đồ admin : lọc ra, khoanh vùng, tất cả những thằng ip từ 172.168.32.0/24 đến 172.168.63.0/24)


Xong phần liên tục đầy đủ. Đây là basic cho phần liên tục ko đầy đủ.

- Kế, là liên tục ko đầy đủ.
Chẳng qua là kết hợp của những thằng liên tục đầy đủ lại thôi. Nghĩa là chia 1 khoảng ko đđ thành nhiều khoảng nhỏ hơn đầy đu đủ ;)
vd: mạng 172.168.3.0/24 đến tận
.................... (liên tục) (ko thỏa dạng trên kia nên ko đ đ )
172.168.17.0/24

=> gợi ý : chia làm 4 khoảng :
172.168.3.0 WM : 0.0.0.255
.4.0 -> .7.0 0.0.3.255
.8.0 -> .15.0 0.0.7.255
.16.0 -> .17.0 0.0.1.255
Xong.

Các bạn lưu ý tính nhanh : gợi ý : các chuẩn đầy đủ có sẵn: (tính nhanh)
4->7 (khác 2 bit cuối) => .00000011.255 => .3.255
8->15 ( 3 ) => .7.255
16-> 31( 4 ) .15.255 .......
............................
sau khi đưa về các chuẩn ấy, phần dư còn lại sẽ tính chính thống, hihi
=> dễ dàng .


a.2) Phần rời rạc, lọc lấy các mạng rời rạc :

sẽ trình bày sau.


Tôi cũng mới vừa đọc phần WM xong tức thì, nên lẽ dĩ nhiên bài viết này cón nhiều sai sót, thậm chí sai bét ! Mong các members góp ý. Vả lại, tôi viết vội nên ko kịp suy nghĩ, "lọc" kỹ lưỡng từng từ, từng ý, think nào trong đầu cũng permit any (out) hết, vì thế, sai xót, sai bét là lẽ đương nhiên.

Xin chào./. :wink:

Bạn có kiến thức hoàn hảo về WC!

Mong được trao đổi nhiều hơn
mến

hichic, mình có viết lộn nè, xin moderator đính chính, edited lại giùm mình nhé, hichic ....: sửa 16 ->32


a.1) Lọc liên tục : (Đính chính : 32 chứ ko phải 16 hàng thứ 5 từ đây trở xuống)
- Lọc liên tục đây đủ: vd: "tui" muốn lọc từ mạng 172.168.32.0/24 -> mạng 172.168.63.0/24.


Dạng đầy đủ : lưu ý phần khác nhau giữ 2 ip trên
(HÀNG NÀY NÈ , hichic) hãy để ý con số 16 (CHỖ NÀY NÈ : 32 chứ ko phải 16 ) -> 63 : lọc liên tục đầy đủ thì những con số ở
dạng đó (mô hờ ? (mơ hồ), ko seo, tiếp tục nè )
32 : 100000 (1 + toàn số 0 - lưu ý, có thể có số 1 tiếp theo trong TH khác, nhưng đó là phần giống nhau) (hơi khó hiểu) ( 6 bits)
63= 111111 (toàn số 1). (6 bit luôn, phải = 6 bit ở trên -vì sao ư? hãy tiếp tục !)
Đầy đủ -> phải ở dạng đó ! vì sao gọi là đầy đủ ? vì nó vét vừa đủ : (vét vừa đủ là sao ? đọc tiếp : )

Hateboy hãy làm thử 1 ví dụ này nha : :wink:

Mình có 2 mạng thế này :

192.168.208.0/24
192.168.216.0/24

Bây giờ mình muốn viết Access-List để cấm các packet trong range 208 ---> 216.

Hateboy giúp mình với nha. :wink:

hi Mikami!
Sao Mikami lại hỏi một câu tương đối đơn giản thế này!!!???

Vậy mình thêm điều kiện nha :

Cũng với đề bài trên, nhưng số dòng access-list fải là ít nhất :wink:

access-list 101 deny ip 192.168.208.0 0.0.0.255 192.168.216.0 0.0.0.255
access-list 101 permit ip any any

Bạn Mikami gì gì đó ơi :

Hình như là :
chia làm 2 khoảng thì phải :
192.168.208.0/24 -> 192.168.215.0/24 : WM : 0.0.7.255
và 1 thằng riêng :
192.168.216.0/24 : WM : 0.0.0.255
(chú ý là liên tục đó nhé)

. Thông thường tui thấy người ta hay cho những ip giống nhau 2 octec đầu ko ha.
Bạn thử làm xem, khác nhau tùm lum nè :
192.168.208.128/24
tới : tận :
197.172.27.128/24
:mad:
(hi hi, hơi bị dài và mệt xỉu luôn đó ...) :D

trả lời của flag là đúng rồi đó

Mình thêm 1 chút Neo nhé! :wink:
1.
range 19 -> 31 : Subnet 192.168.1.16 WM 0.0.0.10
range 32 -> 63 : Subnet 192.168.1.32 WM 0.0.0.30
range 64 -> 95 : Subnet 192.168.1.64 WM 0.0.0.40
range 96 -> 99 : Subnet 192.168.1.96 WM 0.0.0.2

2.
Deny những IP còn lại là xong. (Lười tính wé)

3.
range 19 -> 31 : WM 0.0.0.12
range 32 -> 63 : WM 0.0.0.28
range 64 -> 95 : WM 0.0.0.28
192.168.1.96 : WM 0.0.0.0

Phần còn lại cũng tính tương tự.

Đọc xong cái mớ bòng bong của Neo thấy choáng, nhưng nó rất useful với mọi người khi đọc đến phần ACL.

Thanks Neo

Để tính WM, các bạn cố gắng nhớ các block size. Từ đó các bạn nhìn IP, có thể phán đoán nó nằm ở Block size nào cho phù hợp (Đối với trường hợp liên tục đầy đủ)
Trường hợp không liên tục, các bạn có thể tính như Neo đã trình bày ở đây : http://www.vnpro.org/forum/viewtopic.php?t=1102
và nhớ rằng: để tính SM dùng phép toán "AND" và WM dùng phép toán "OR" giữa các khoảng IP.

Chúc thành công

Bạn sskkb gi đó ơi....Theo mình thấy thì bài cua Hateboy giải như vậy là đúng rồi mà...!
Bởi vì theo yêu cầu đề bài thì ta phải deny các packet trong range
192.168.208.0 /24-->192.168.216.0 /24
chứ không phải deny các máy ở mạng 192.168.208.0 /24 gởi tới 192.168.126.0/24
(như cách giải của bạn flag).
Hình như you hiểu chưa đúng lắm ý của Mikami thì phải...!

Thân mến./.

Làm sao để tính được Subnet khi filter các máy từ 192.168.1.19 đến 192.168.1.99 hả bác Neo (Em vừa mới vào Forum để học hỏi):

19 -> 0001 0011
31 -> 0001 1111
=> Subnet 192.168.1.16 Mask 0.0.0.15

Bác chỉ cách tính dùm em, hoặc địa chỉ nào đó cũng được. Cảm ơn.

Em xin chào !

Xin các pro của diễn đàn giúp em rõ điều này:

Có phải access-class là dành cho standard access-list, còn access-group là dành cho extended access-list không?
Hai dòng lênh đó có phải cùng tính năng là accept một access-list trên một giao diện không?

Chân thành cảm ơn !

Chào chị,

access-group được cấu hình ở chế độ interface để đặt một access-list (cả standard và extended) vào interface đó nhằm điều khiển lưu lượng.
access-class được cấu hình ở chế độ line vty nhằm cho phép các địa chỉ nào được phép hay không telnet đến router.

Thân.

:roll: :roll: :roll:
ptls_light mến!
cvo cũng đang thắc mắc giống bạn đấy,mà hình như không phải access-class là dành choo standard ACL,access-group dành cho extend đâu.
-Standard ACL là các policy được thiết lập dựa vào source addr của packet và áp dụng cho toàn bộ các IP service,nó được đánh số từ 1-99
-Extended ACL là các policy chi tiết hơn, được thiết lập dựa vào source addr,dest addr của packet và chỉ áp dụng cho 1 hoặc 1 số service cụ thể nào đó(TCP,UDP,ICMP,..),nó được đánh số từ 100-199
-Để triển khai các policy này trên 1 interface ta cần nhờ đến command ip access-group ..... bất kể đó là standard hay extended ACL.Còn accept hay deny và hướng in hay out là do ý đồ tổ chức của bạn.
-access-class hình như dùng để quản lý việc access trực tiếp vào router đấy.
Cái này 1 sư huynh dạy mình thế,cvo cũng chả biết ổng nói đúng hay sai nữa.?
Mong chia xẻ cùng bạn
Chúc vui!!!
-

access-class để chặn telnet vào router .Nếu thiết lập tham số là in thì cấm bên ngoài telnet vào,nếu là out thì cấm chính router của bạn telnet ra router khác.Có thể xác định số line nào sẽ chặn.

Mọi người ai có link nào có nhièu VD về Access list ko? Nhỉ , có thì cho mọi người xin với, mình thấy ko thạo lắm.Cảm ơn nhiều

Anh xem link này về các câu hỏi access-list :

http://www.vnpro.org/forum/viewtopic.php?t=2449

Chúc vui :wink:

ip access-group dùng để gán ACL vào interface để nó có thể hoạt động được, vì khi bạn tạo ACL mà không gán vào interface thì cũng như không.
còn access-class dùng để ngăn không cho telnet vào router, bạn cũng có thể dùng extended ACL để chặn telnet bằng cách chặn các tcp traffic có port là 23, nhưng có 1 bất lợi của việc dùng extended ACL để chặn telnet vào router là: Bạn chỉ có thể ngăn không cho các remote host telnet vào router của bạn thôi còn nếu bạn muốn ngăn không cho router của bạn telnet vào cái khác thì bó tay(vì ACL chỉ có thể ngăn những traffic đi wa router chứ không thể ngăn những traffic xuất phát từ router) còn với việc sử access-class với standard ACL thì bạn cũng có thể ngăn không cho tel net ra ngoài từ router được.

Bà con ơi làm sao xet access -list cho một phòng có mạng 192.168.1.0, nối với một router ra internet. Yêu cầu là chỉ có các máy có địa chỉ chẵn trong phòng được nối internet, địa chỉ lẻ thì không. Help me, Help me

Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các ma9ng khác truy cập vào các host có địa chỉ lẻ thôi thì cấu hình như thế nào?

Bạn hãy thử access sau xem thế nào:
access-list 1 permit 192.168.1.2 0.0.0.254

Thân mến

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Cảm ơn bạn rất nhiều. Đúng là vậy cảm ơn rất nhiều. Cho hỏi thêm, bây giờ cũng là mạng 192.168.1.0/27. Chỉ cho các mạng từ 192.168.32.0-192.168.63.0 vào được internet. Có cách nào tổng quát hoá không?. Xin chỉ giáo

Ta xét dãy địa chỉ subnet:

32 = 0010 0000
33 = 0010 0001
34 = 0010 0010
...
62 = 0011 1110
63 = 0011 1111

Bạn thấy rằng 3 bit bên trái luôn luôn là 001, 5 bit bên phải thay đổi từ 00000 -> 11111. Vì vậy, bạn phải tạo một access list để check 3 bit bên trái, bảo đảm rằng nó luôn luôn là 001, ignore 5 bit bên phải. Access list đó như sau:

access-list 1 permit 192.168.32.0 0.0.31.255

Thân mến,

Rất cảm ơn. Cho hỏi tiếp một câu nữa. Có ba mạng nối vào một Router, mạng 1 nối cổng E 0/0, hai mạng còn lại nối s 0/1, và s 0/2. Mạng 2, 3 được yêu cầu là cho phép truy cập đến nhau, mạng 1 không cho phép truy cập vào mạng 2, và mạng 3. Còn mạng 2,3 thì cho phép truy cập đến mạng 1. Đặt access-list cho cổng E0/0 như sau cho chiều vào in:
acess-list 111 deny ip mạng-1- ip willdcardmask-1 any.
acess-list 111 permit ip any any.

Khi ping kiểm tra mạng 2 có truy cập vào mạng 1 hay không thì không nhận được gói phản hồi. Nguyên nhân là do chặn tất cả các gói từ mạng 1 truyền đến. Có cách nào khắc phục được không? Mong giúp đỡ.

tanvlth,
Mình nghĩ là không có cách nào.
Cấm mạng 1 truy cập vào mạng 2,3 đồng nghĩa với việc cấm 2,3 liên lạc với mạng 1.
Thân chào,

act nghĩ là có cách, chắc chắn là sẽ có cách
nhưng chưa nghĩ ra đành nhờ các vnbro giúp vậy

cho ACT hỏi 1 vấn đề liên quan đến ACL thế này:
- nều lỡ tay xài NAT overloading
- trong cấu hình ACL chặn theo port

NAT overloading thay đổi source port rồi, qua router bị access-list chặn lại thì làm sao packet đến được đích?

nhờ các vnbro chỉ giúp
ACT cám ơn

hi tanvlth!

bạn muốn viết các ACL chặn một chiều như vậy thì cần phải chú ý đến một tham số nữa là "Established". Cho phép check các gói tin (thuộc loại connection oriented) đã được thiết lập hay chưa-thực chất là check trường ACK trong gói tin bằng 1 hay bằng 0
(
Trong TCP có thuật ngữ là: 3-way handshake,
gói tin gửi đi thiết lập liên kết có cờ ACK = 0
gói tin trả lời có ACK =1 ( mình kô nhớ chính xác đoạn nay- co thể ngược lại)
)
khi đặt các ACL kiểu này cần cực kỳ chú ý đến việc đặt inbound hay outbound.

Thân

Quên, đối với các gói tin ICMP thì cần chú ý đến Echo-request và Echo-reply,
chúc bạn thành công!

Bạn hãy thử access sau xem thế nào:
access-list 1 permit 192.168.1.2 0.0.0.254


Bạn tuaninbox có thể giải thích chi tiết giùm chỗ này được không, mình ngẫm mãi nhưng vẫn không hiểu :( .

Cảm ơn rất nhiều.

192.168.1.2 0.0.0.254

2:0000 0010 254:1111 1110

nghĩa là chỉ permit những IP add nào có dạng: 192.168.1.x (x= 2, 4,6...)

Bạn Thông, cám ơn bạn rất nhiều. Trong các sách CCNA mình có không có nói chi tiết về phần này. Nhờ bạn nêu vài tài liệu có liên quan đến ACL chặn một chiều. Xin cảm ơn nhiều.

Cảm ơn bạn Thông nhiều! Hôm qua đọc xong vẫn chưa hiểu, tối về nhà ngồi vắt tay lên trán, nghĩ một hồi nữa, thế là hiểu :). Thật ra sau khi nghĩ tới định nghĩa : bit nào cần check thì wildcard bit =0, còn bit nào lờ đi thì wildcard bit=1 thì mình mới hiểu được.

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Đúng vậy, câu này dễ hà. Vấn đề của bạn là tính wildcard mark thôi, cấm lẻ thì chỉ cần phải so sánh bit cuối cùng, do đó WM đặt là: 0.0.0.254

Câu lệnh của tuaninbox cần sửa tí xíu:
access-list 101 deny ip any 172.168.1.0 0.0.0.254

To tuaninbox ::?
Mình chưa thấy địa chỉ network/subnetwork nào là x.x.x .1 như bạn nói (172.168.1.1).
To mmx ::?
access-list 101 deny ip any 172.168.1.0 0.0.0.254
1- câu lệnh này là cấm các địa chỉ chẵn trong network 172.168.1.0 chứ !!!
2-Theo mình phải sửa lại như sau :
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ)
Các bạn xem lại có phải không ạ .Cảm ơn. :lol:

đáp án của tuaninbox là đúng rồi.

Access-list đầy đủ sẽ là như sau:

access-list 101 deny ip any 172.168.1.1 0.0.0.254
access-list 101 permit ip any any

To tuaninbox ::?
Mình chưa thấy địa chỉ network/subnetwork nào là x.x.x .1 như bạn nói (172.168.1.1).
To mmx ::?
access-list 101 deny ip any 172.168.1.0 0.0.0.254
1- câu lệnh này là cấm các địa chỉ chẵn trong network 172.168.1.0 chứ !!!
2-Theo mình phải sửa lại như sau :
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ)
Các bạn xem lại có phải không ạ .Cảm ơn. :lol:

:)), thứ nhất, tuaninbox đúng.
:D, thứ hai, không cần lệnh : Access-list 101 deny ip any any bạn viết (defaul cuối ACL nó có rồi)

Bạn hãy thử access list sau
access-list 101 deny ip any 172.168.1.1 0.0.0.254

Thân mến,

Đúng vậy, câu này dễ hà. Vấn đề của bạn là tính wildcard mark thôi, cấm lẻ thì chỉ cần phải so sánh bit cuối cùng, do đó WM đặt là: 0.0.0.254

Câu lệnh của tuaninbox cần sửa tí xíu:
access-list 101 deny ip any 172.168.1.0 0.0.0.254
Cái này của tôi công nhận sai, nó cấm địa chỉ chẵn chứ ko phải lẻ

Bạn có thể dùng hai cách :
1. Access-list 101 permit ip any 172.168.1.1 0.0.0.254
2.Access-list 101 deny ip any 172.168.1.0 0.0.0.254
Access-list 101 permit ip any any

to KoKiChi81:

Bạn có thể dùng hai cách :
1. Access-list 101 permit ip any 172.168.1.1 0.0.0.254
2.Access-list 101 deny ip any 172.168.1.0 0.0.0.254
Access-list 101 permit ip any any
Bạn vui lòng xem lại yêu cầu của bạn dothuank :
Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các ma9ng khác truy cập vào các host có địa chỉ lẻ thôi thì cấu hình như thế nào?
Hai cách của KoKiChi81 đưa ra là cấm chẵn chứ đâu phải cấm lẻ ???!!!!!!!

Tóm lược lại bài này một chút nhé:
"Router nối tới một Lan có địa chỉ mạng là 172.168.1.0/24, để cấm các mạng khác truy cập vào các host có địa chỉ lẻ". Từ đây suy ra có hai hướng giải quyết vấn đề:
1)Cấm tất cả các địa chỉ lẻ và cho phép các địa chỉ khác:
access-list 101 deny ip any 172.168.1.1 0.0.0.254 // Cam cac dia chi lẻ
access-list 101 permit ip any any // Cho phép các địa chỉ còn lại - là địa chỉ chẵn
(Như danguyennhi)
2)Cho phép các dịa chỉ chẵn và cấm tất cả các địa chỉ còn lại
Access-list 101 permit ip any 172.168.1.0 0.0.0.254 //(cho phép các địa chỉ chẵn)
Access-list 101 deny ip any any //(cấm các địa chỉ còn lại – là các địa chỉ lẻ) --> thực ra thì câu này không cần thiết lắm bởi theo default đã là như vậy rùi.
(Nhu Sunone)

Áp vào chiều IN hay OUT vậy các bác ?

to aTa100,
với các Extended ACL mà không sử dụng thêm các keyword như Established thì áp vào chiều nào cũng có tác dụng giống nhau.

Anh Thông ơi, em không nhớ là đọc ở đâu có nói là không nên áp vào chiều IN vì Router sẽ phải xử lí nhiều hơn, không biết có đúng kô anh ?

Hi ata100

áp đặt các access-list theo chiều IN hay chiều OUT tùy thuộc vào từng tình huống cụ thể và tuỳ thuộc vào chiều của traffic. Dù là chiều IN hay chiều OUT thì routers đều phải xử lý giống nhau.

Điểm mấu chốt trong access-list là access-list chỉ hiệu lực (áp dụng) cho các traffic đi xuyên qua routers chứ không cho các traffic xuất phát từ bản thân router đó.

chúc vui vẻ,

- Đúng như những gì mà danguyennhi nêu ở trên, điểm mấu chốt trong access-list là access-list chỉ hiệu lực cho các traffic đi xuyên qua router chứ không cho các traffíc xuất phát từ bản thân router đó. Điều này chúng ta thấy rất rõ đối với các đường telnet, nên người ta phải đưa ra các access-list riêng dành cho các đường vty.
- Thông thường có các luật khi áp dụng access-list. Đối với loại standard người ta sẽ đặt access-list sao cho gần đích nhất, còn đối với extended thì đặt gần nguồn nhất ... (những luật thông dụng này các bạn có thể xem ở hình trong file gắn kèm).
- Khi muốn đặt luật thì đầu tiên ta phải chọn router nào, interface nào, và chiều nào rồi sau đó mới tính toán để đưa ra access-list phù hợp.

http://vnpro.org/forum/download.php?id=725

aTa100, Trong một số sách trước đây thì Cisco khuyến nghị là nên đặt ACL theo chiều OUTbound (Trước đây có một bài viết về vấn đề này rồi nhưng mình không tìm ra). Nghĩa là cisco khuyến khích mình viết các ACL để gán theo chiều OUTbound.
Thực tế thì vẫn phải dùng cả IN và OUT mới thực hiện được các policy như mong muôn.
Thân!

Another question
Khi tính toán wildcard mask trong ACLs, trong sách của Synbex hướng dẫn theo blocksize nhưng em thấy chỉ đúng trong một số trường hợp vời những blocksize chuẩn như: 4, 8, 16, 32, 64...Khi đó wildcard mask = blocksize -1. Còn trong CNAP thì trình bày khá sơ sài, họ chỉ nói theo "care" bits và "don't care" bits
Vậy em muốn hỏi các anh có cách tính wildcard mask nào nhanh và chính xác không?
Cảm ơn mọi người

Bạn có thể dựa vào Subnet Mask để tính wildcard mask bằng cách sau:
+những byte nào là 255 trong subnet mask thì trong wildcard mask là 0
+những byte B1 nào ko fải 255 trong sunnbet mask thì byte tương ứng trong wildcard mask là 255-B1.
+Những byte nào là 0 trong subnet mask thì byte tương ứng trong wildcard mask là 255.

ví dụ: SM 255.255.192.0->WM 0.0.63.255(255-192=63)
ví dụ: SM 255.255.255.224->WM 0.0.0.31.255(255-224=31)
------------------------------
Good luck

hi
Theo cách lesingle thì cũng ổn khi tính toàn bộ dải subnet.
Nhưng cần chú ý khi tính những trường hợp mà chỉ lấy nửa dải subnet(rất hay hỏi trong khi thi). Khi đó, công thức tính Wildcard Mask sẽ là (256-B1)/2 -1 ( Cũng nghĩa là bằng blocksize/2 -1), và phải chọn địa chỉ mạng thích hợp

Ví dụ : cho subnet 172.16.16.0 255.255.240.0

Khi đó, để lấy nửa dải địa chỉ dưới : 172.16.16.0 0.0.7.255
Để lấy nửa dải địa chỉ trên : 172.16.24.0 0.0.7.255

duonglt nên cẩn thận với kiểu tính lấy từng phần của dải subnet này

Thân

hi
Theo cách lesingle thì cũng ổn khi tính toàn bộ dải subnet.
Nhưng cần chú ý khi tính những trường hợp mà chỉ lấy nửa dải subnet(rất hay hỏi trong khi thi). Khi đó, công thức tính Wildcard Mask sẽ là (256-B1)/2 -1 ( Cũng nghĩa là bằng blocksize/2 -1), và phải chọn địa chỉ mạng thích hợp

Ví dụ : cho subnet 172.16.16.0 255.255.240.0

Khi đó, để lấy nửa dải địa chỉ dưới : 172.16.16.0 0.0.7.255
Để lấy nửa dải địa chỉ trên : 172.16.24.0 0.0.7.255

duonglt nên cẩn thận với kiểu tính lấy từng phần của dải subnet này

Thân

Trong ******* v63.1, cau 5 trang 60:
Choose the correct access list statements form the left and drag them to their
corresponding IP address on the right. (Not all the access list statements are used.)
access-list 2 deny 172.26.48.0 0.0.15.255
access-list 3 deny 172.26.64.0 0.0.31.255
access-list 4 deny 172.26.128.0 0.0.31.255
access-list 5 deny 172.26.192.0 0.0.31.254
access-list 6 deny 172.26.192.1 0.0.31.254

Và dãy địa chỉ cần chặn như sau:
172.26.92.10
172.26.198.94
172.26.50.173
172.26.144.17

theo tôi,:
172.26.92.10 ==> access-list 3 .>>>> Đúng
172.26.50.173==> access-list 2 >>> đúng
172.26.144.17==> access-list 4 >>> đúng
172.26.198.94==>????


Nhưng trong đáp án:
172.26.198.94==> access-list 6 ?????
Bạn nào hiểu được làm ơn giải thích giùm đoạn này với
Vì tôi thấy wildcast mask lam sao lai có thể là 0.0.31.254 mà chặn được chính xác host được???

172.16.192.94 sẽ match với lệnh access-list 5 deny 172.26.192.0 0.0.31.254
Octet 3 198 match với 192 wildcard 31
Octet 4 94 match với 0 wildcard 254

Chi tiết về octet 4
0000 0000
1111 1110
------------
XXX XXX0

Những địa chỉ match octet 4 phải có bit cuối cùng = 0 -> tất cả các địa chỉ có octet 4 có giá trị chẵn chẵn

Cheers

Chào
Như các bạn đã biết, WildCard Mask dùng trong ACL.Các bạn có để ý chữ Mask không?Wildcard mask gần như là dạng đảo ngược của Subnet Mask.
VD:
192.168.10.0
255.255.255.0

Wildcard Mask :

192.168.10.0
0.0.0.255

Nếu mình nói gì sai mong các bạn góp ý nhé

theo ý tôi thì giá trị wild card ko phải là dạng đảo ngược của subnet mask.

Minh chua hieu lam ve wildcard ban nao biet chi minh voi?
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:
192.168.4.0 -7.0 la 0.0.3.255
192.168.8.0-9.0 la 0.0.1.255
Neu dia chi la 192.168.4.0-15.0 thi wildcard la:
4.0-7.0 la 0.0.3.255
8.0-15.0 la 0.0.7.255
Ban nao co the giai thich cho minh biet duoc khong?

thế này nhé :
192.168.4 .0 - 192.168.7.0 là một dải địa chỉ ip
tất cả các đia chỉ ip này thuộc mạng 192.168.4.0 / 22
--------> wildcardmask là :

2 mũ 2 - 1
2 mũ 8 - 1
túc là 0.0.3.255
dễ hiểu không ?

Chào
Như các bạn đã biết, WildCard Mask dùng trong ACL.Các bạn có để ý chữ Mask không?Wildcard mask gần như là dạng đảo ngược của Subnet Mask.
VD:
192.168.10.0
255.255.255.0

Wildcard Mask :

192.168.10.0
0.0.0.255

Nếu mình nói gì sai mong các bạn góp ý nhé

sai trầm trọng .

172.16.192.94 sẽ match với lệnh access-list 5 deny 172.26.192.0 0.0.31.254
Octet 3 198 match với 192 wildcard 31
Octet 4 94 match với 0 wildcard 254

Chi tiết về octet 4
0000 0000
1111 1110
------------
XXX XXX0

Những địa chỉ match octet 4 phải có bit cuối cùng = 0 -> tất cả các địa chỉ có octet 4 có giá trị chẵn chẵn

Cheers

chào !
không biết anh có nhầm lẫn ko chứ em khẳng định là ko có wildcardmask kiểu này 0.0.31.254 (bó tay) phải là 0.0.31.255 hihihihi

Trong ******* v63.1, cau 5 trang 60:
Choose the correct access list statements form the left and drag them to their
corresponding IP address on the right. (Not all the access list statements are used.)
access-list 2 deny 172.26.48.0 0.0.15.255
access-list 3 deny 172.26.64.0 0.0.31.255
access-list 4 deny 172.26.128.0 0.0.31.255
access-list 5 deny 172.26.192.0 0.0.31.254
access-list 6 deny 172.26.192.1 0.0.31.254

Và dãy địa chỉ cần chặn như sau:
172.26.92.10
172.26.198.94
172.26.50.173
172.26.144.17

theo tôi,:
172.26.92.10 ==> access-list 3 .>>>> Đúng
172.26.50.173==> access-list 2 >>> đúng
172.26.144.17==> access-list 4 >>> đúng
172.26.198.94==>????


Nhưng trong đáp án:
172.26.198.94==> access-list 6 ?????
Bạn nào hiểu được làm ơn giải thích giùm đoạn này với
Vì tôi thấy wildcast mask lam sao lai có thể là 0.0.31.254 mà chặn được chính xác host được???


access-list 2 deny 172.26.48.0 0.0.15.255(chặn từ 172.26.48.0 - 172.26.63.254)
access-list 3 deny 172.26.64.0 0.0.31.255( 172.26.64.0-172.26.95.254)
access-list 4 deny 172.26.128.0 0.0.31.255(172.26.128.0-172.26.159.254)
access-list 5 deny 172.26.192.0 0.0.31.254 nhìn wildcardmask biết sai
access-list 6 deny 172.26.192.1 0.0.31.254 nhìn wildcardmask biết sai

Bạn có thể dùng hai cách :
1. Access-list 101 permit ip any 172.168.1.1 0.0.0.254
2.Access-list 101 deny ip any 172.168.1.0 0.0.0.254
Access-list 101 permit ip any any
có wildcardmask kiểu này à ?

0.0.0.254 kỳ lạ .

Bạn tuaninbox có thể giải thích chi tiết giùm chỗ này được không, mình ngẫm mãi nhưng vẫn không hiểu :( .

Cảm ơn rất nhiều.


sai thì làm sao bạn hiểu được cơ chứ
với địa chỉ này chỉ là một host không có địa chỉ kiểu này
192.168.1.2
có thể thay bằng "host 192.168.1.3" or 192.168.1.2 0.0.0.1

hic cái này mình cũng không nắm chắc lắm, nhưng Sybex chỉ như vầy:
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:


192.168.9.0
-
192.168.4.0

= 0 . 0 .5.255

mọi người hướng dẫn thêm với :|


sybex viết thế thật à ? thế thì tớ ko học sách sybex nữa .

192.168.9.0
-
192.168.4.0

= 0 . 0 .5.255

buồn cho sybex quá

chào batigol

Bạn nên xem lại cách tính wild card mask của bạn đi.

chào batigol

Bạn nên xem lại cách tính wild card mask của bạn đi.


bạn thử chỉ ra là tớ sai chỗ nào đi .

xem lại cách tính là xem lại như thế nào ? xem lại chỗ nào ? làm ơn nói rõ

thanks

batigol

Mong là có bác mod hay admin nào có thể vào tổng hợp những kiến thức đúng về wildcard trong topic này, giống bên topic IP classfull vs IP classless đó. Tui thấy chủ đề bàn luận hơi lan man và cũng có vài kiến thức không được chính xác :confused:
Thân chào!

172.26.192.0 0.0.31.254

110 | 00000.0000000 |0 ->192.0
000 | 11111.1111111 |0 ->31.254

0.0.31.254 WM kiểu này đúng là pó tay thật.

theo tui cách tính wildcard đơn giản là:
lấy 255.255.255.255 trừ đi subnetmask là xong thui
VD: mạng 192.168.1.99/30 có wildcard là 0.0.0.3 vì subnetmask của mạng kà 255.255.255.252.
Có gi sai xin các bạn chỉ giáo nha

Minh co cach tinh wildcast kha nhanh nhung phai nho anh em kiem chung lai coi co dung khong.
Gia su minh co 1 dia chi IP va subnet mask (vi du 192.168.23.15/26 -> subnet mask 255.255.255.192). Doi subnet mask qua nhi phan la 11111111.11111111.11111111.11000000, sau do nhung bit nao la 1 trong subnet mask thi doi thanh 0, nhung bit nao la 0 thi doi thanh 1: 00000000.00000000.00000000.00111111 ->0.0.0.127
Nhu vay voi dia chi 192.168.23.15/26 thi wildcast la 0.0.0.127
hihihihihi

00000000.00000000.00000000.00111111 ->0.0.0.127
không biết cách của bạn đúng hay không nhưng dòng này sai rồi bạn ơi :rolleyes:

Xin các bạn chỉ cách tính WILDCARD, có chương trình nào tính được như vậy không?
Xin hỏi WILDCARD của 192.168.1.19 đến 192.168.1.99 là bao nhiêu?
Và xin crack của BOSON ROUTER TESTS 5.11.
Chân thành cảm ơn!

WILDCARD bạn có là: 0.0.0.127
vì địa chỉ lớp C nên bạn chỉ quan tâm đến octet cuối cùng thôi, và quan trọng là bước nhảy từ địa chỉ đầu đến địa chỉ cuối: .19 ->.99 thì
00010011 (19)
01100011(99)

thì không kiểm tra 7 bít phía sau: vì 7 bit phía sau là dãy đại chỉ cho phép ta cần quan tâm

Để crack Boson liên hệ địa chỉ long99t1@yahoo.com

mình xin bổ sung cho rõ ý của thlhqqt:

Từ .19 -> .99 ta được 80 host, từ đó ta suy ra được số host đầy đủ của subnet này là 2 mũ 7=128 host.
-----> subnet mask phải là : 255.255.255.128 (dành 7 bít cho host=128 host)
Việc còn lại đơn giản : 255.255.255.255 - 255.255.255.128 = 0.0.0.127
Wildcard mask cho subnet này là 0.0.0.127.
Tóm lại: Nếu cho dãy địa chỉ IP (ko phải dãy địa chỉ Net nha), bạn cố gắng tìm ra subnet mask của nó (thực ra dể dàng đúng không?) từ đó bạn sẽ tìm ra wildcard mask dễ dàng.
Trong trường hợp người ta cho bạn dãy địa chỉ của subnet
ví dụ nha : 132.43.48.0 to 132.43.63.255
thì ban chỉ việc: 132.43.63.255 - 132.43.48.0 = Wildcard mask 0.0.15.255
Mọi người cho ý kiến nha :)

Một ca'ch đơn giản như sau: talàm bài toa'n trừ
255.255.255.255
-
xxx.xxx.xxx.xxx.xxx
Với xxx.xxx.xxx.xxx là mask cua lớp IP đang cần ti'nh.

chả hiểu rì cả
híc

Mình học CCNA có nói:

255.255.255.255 - subnet mask = WildCard Mask

Trừ một số trường hợp không chính xác 100% nhưng thường thì đúng , các bạn thử xem.

Thử vi du 192.168.23.15/26 -> subnet mask 255.255.255.192

255.255.255.255 - 255.255.255.192 = 0.0.0.63

vậy cách của bạn Dragon2912 có vẻ đúng...

Lâu không đụng đến, phải xem lại mới được :>

bạn chỉ cần tính được địa chỉ broadcasd sau đó lấy 255.255.255.255 trừ đi địa trỉ broadcasd là ra wildcard mask :D

sao cứ mình vào cái này thì không vậy ?
http://www.vnpro.org/forum/viewtopic.php?t=1102

wildcard có cách nào tính nhanh nhất cái vụ này không , Mình nhìn mấy cái số 0110 này hay bị nhòe mắt quá

Vậy thì tính broadcasd làm sao mong chỉ giúp .
Cám ơn nhiều . Nói thật mình rất dốt về cái vụ IP lắm

tôi có bài yêu cầu như sau: cho phép dải IP từ 192.168.208.128/24 - 192.172.27.128/24 tôi làm thế này đúng hay sai ?
access-list 1 deny 192.168.208.0 0.0.0.127
access-list 1 permit 192.168.208.0 0.0.15.255
access-list 1 permit 192.168.224.0 0.0.31.255
access-list 1 permit 192.169.0.0 0.0.255.255
access-list 1 permit 192.170.0.0 0.1.255.255
access-list 1 permit 192.172.0.0 0.0.15.255
access-list 1 permit 192.172.16.0 0.0.7.255
access-list 1 deny 192.172.27.128 0.0.0.127
access-list 1 permit 192.172.24.0 0.0.3.255
mong các bạn góp ý cho mình

mình có một cách hiểu theo riêng mình vd:
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:
192.168.4.0 -7.0 la 0.0.3.255
bạn đang cần tìm wildcard của 192.168.4.0 -192.168.7.0
bạn đổi sang nhị phân và làm như sau
192.168. 4. 0
WLC 0. 0. ?. 0
192.168. 7. 0
bây giờ xét phần ? nhé
(4) 0000 0 1 0 0
WLC 0000 0 0 1 1
(7) 0000 0 1 1 1
(nếu ở (7) giữ nguyên bit thì WLC là 0 còn khác so với (4) thì WLC là 1)
ok bây giờ đổi WLC 0000 0 0 1 1 sang thập phân thê là
WLC= 0.0.3.255

0.0. .255 cũng đổi tương tự
bạn thử xem nhé

mình có một cách hiểu theo riêng mình vd:
Gia su cho dia chi 192.168.4.0-192.168.9.0 thi wildcard nhu sau:
192.168.4.0 -7.0 la 0.0.3.0
bạn đang cần tìm wildcard của 192.168.4.0 -192.168.7.0
bạn đổi sang nhị phân và làm như sau
192.168. 4. 0
WLC 0. 0. ?. 0
192.168. 7. 0
bây giờ xét phần ? nhé
(4) 0000 0 1 0 0
WLC 0000 0 0 1 1
(7) 0000 0 1 1 1
(nếu ở (7) giữ nguyên bit thì WLC là 0 còn khác so với (4) thì WLC là 1)
ok bây giờ đổi WLC 0000 0 0 1 1 sang thập phân thê là
WLC= 0.0.3.0

0.0. .0 cũng đổi tương tự
sory mình viết nhầm

phải post lại HIHIHIHI

chào mọi người.
Tôi có cách tính wildcard mask như sau xin mọi người cho ý kiến.
Ví dụ ta tính WC cho dãy địa chỉ sau.
192.168.1.19 - 192.168.1.99
+ lấy 99-19=80
+ Theo tôi được biết WC bao giờ cũng la dạng (2 mũ n)-1. Nên ta phân tích 80 ra thành các thành phần có dạng (2 mũ n)-1
cụ thể : 80 = (64-1) + (16-1) + (2-1) + (2-1).

vì vậy ta có WC như sau
192.168.1.19 0.0.0.63
192.168.1.82 0.0.0.15
192.168.1.98 0.0.0.1

Xin các bác cho ý kiến.

thấy ko ổn rồi :mad:
- 192.168.1.19 với wc: 0.0.0.63 tức là phải kiểm tra hết trừ 6 bits cuối "bỏ qua", như vậy dãi địa chỉ match là: 192.168.1.0 - 192.168.1.63 thôi.
- 192.168.1.82 với wc: 0.0.0.15 tức là phải kiểm tra hết trừ 4 bits cuối "bỏ qua", như vậy dãi địa chỉ match là: 192.168.1.80 - 192.168.95 thôi.
- 192.168.1.98 với wc: 0.0.0.1 tức là phải kiểm tra hết trừ bit cuối cùng "bỏ qua", như vậy 2 địa chỉ match là: 192.168.1.98 & 192.168.1.99

Và cho dù có cộng hết 3 dãi địa chỉ trên vô thì cũng vẫn sót khoảng địa chỉ: 192.168.1.64 - 192.168.1.79, 192.168.1.96 - 192.168.1.97. Như vậy là không đáp ứng được dãi 192.168.1.19 - 192.168.1.99 rồi, chưa kể là ta đã "quá tay", vì yêu cầu chỉ lọc từ .19 - 99 mà ta lại để cho lọt qua luôn khoảng địa chỉ từ .1 - .18 rồi :cool:

Mình mới đọc cái Ebook này thấy hay hay copy paste lên cho mọi người đọc chơi !

Wildcard Masks
One of the most difficult components to grasp with ACLs is the wildcard mask. Wildcard masks are used to match on a range of IP addresses in a condition. For example, imagine that you want to allow a device to access any address in 192.168.1.0/24. One approach is to have 254 permit statements for these addresses: 192.168.1.1 through 192.168.1.254. This takes a lot of time to configure and places an extra burden on the router to process all of these statements. Instead, the Cisco IOS uses a feature called wildcard masks. Wildcard masks enable you to match on a range of addresses in a single condition, such as 192.168.1.0/24. A wildcard mask can match on all 256 of these addresses.

The greatest confusion involving wildcard masks concerns how they are configured to match on a range of addresses. Like IP addresses and subnet masks, wildcard masks are 32 bits in length. When comparing a wildcard mask to a subnet mask, however, the bit values used in both (0 and 1) mean different things. Table 6-2 compares the bit values in subnet and wildcard masks and tells what they represent.

Table 6-2. Wildcard and Subnet Mask Values Mask
Binary 1
Binary 0

Subnet mask
A bit in the corresponding address is a network component.
A bit in the corresponding address is a host component.

Wildcard mask
A bit in the corresponding condition address is ignored.
A bit in the corresponding condition address must match.





NOTE

With standard IP ACLs, the wildcard mask is optional. If you omit it, the wildcard mask defaults to 0.0.0.0. With extended IP ACLs, the wildcard mask is required for both the source and destination addresses.



Converting a Subnet Mask to a Wildcard Mask
Probably the best way to look at a wildcard mask is to compare it to an inverted subnet mask. For example, say that you want to match on network 192.168.1.0/24. This network is a subnet mask of 255.255.255.0. To invert this mask, flip all the 1 bits to 0s and all the 0 bits to 1s. This results in twenty-four 0 bits and eight 1 bits, or 0.0.0.255. Therefore, to match on all addresses in network 192.168.1.0/24, you would use a wildcard mask of 0.0.0.255.

TIP

I have developed a quick trick to perform the conversion process from subnet mask to wildcard mask. First, write down the subnet mask in dotted decimal. Subtract each octet from 255, resulting in the corresponding wildcard mask value for that octet.



Take a look at some examples of performing the conversion. In the first example, I want to figure out the wildcard mask that will match on any packet. In IP, the default network (any address) is 0.0.0.0/0, resulting in a subnet mask of 0.0.0.0. When performing the conversion, the resulting wildcard mask for all address is 255.255.255.255 (subtract each subnet mask octet from 255). To match on any address, you would use an IP address of 0.0.0.0 and a wildcard mask of 255.255.255.255. Like a subnet mask, the context of the wildcard mask is based on the address associated with the mask.

TIP

When configuring an ACL condition and specifying a source address and a wildcard mask that will match on any address, you can either use 0.0.0.0 255.255.255.255 or the keyword any. Both mean the same thing.



In this example, I want to match on one specific address, 192.168.1.1. In subnetting, to represent a single address, you use a /32 (255.255.255.255) mask. To convert this to a wildcard mask, subtract each subnet mask octet from 255. This results in a wildcard mask of 0.0.0.0. Therefore, to match on this specific address, you would use 192.168.1.1 0.0.0.0 in your condition.

TIP

When configuring an ACL condition and specifying a source address and a wildcard mask that will match on a specific address, such as 192.168.1.1, you can use either 192.168.1.1 0.0.0.0 or the keyword host followed by the host address (host 192.168.1.1). Both mean the same thing.



In this third example, I want to create a wildcard mask that will match this range of address: 192.168.1.16/28 (255.255.255.240). To convert this to a wildcard mask, subtract each subnet mask octet from 255, resulting in a wildcard mask of 0.0.0.15. Therefore, to match on 192.168.1.16/28 addresses, you would use the following in your condition: 192.168.1.16 0.0.0.15. As you can see, using this simple trick makes converting subnet masks to wildcard masks an easy process.

NOTE

Unlike subnet masks, wildcard masks support discontiguous 1s and 0s, which enables you to match on a range of values with a specific octet, such as any packet that has a number of 0 to 7 in the third octet.



In this last illustration, I use an example that you might see on a CCIE Routing and Switching or Security written or lab exams. In this example, you are given the following network: 172.16.0.0/16. In this network, you want to match on the first address in each subnet, where the subnet mask is /24. You do not care about the subnet number; you care only about the first address in every subnet, such as 172.16.0.1, 172.16.1.1, 172.16.2.1, and so on. Given these requirements, what kind of address and wildcard mask would you use for your condition? Given the requirements, the address must begin with 172.16. Therefore, the first two octets in the wildcard mask are 0.0. You do not care about the subnet number in the third octet, so the wildcard mask is 255 here. But you do care about the last octet. You want to match on the first address (.1), resulting in a 0 in the fourth octet of the wildcard mask. Therefore, the resulting address and wildcard mask in the condition would be 172.16.0.1 0.0.255.0.

One interesting point to make about this partial condition is that 172.16.0.1 0.0.255.0 and 172.16.1.1 0.0.255.0 mean the same thing. Remember that the wildcard mask specifies that you do not care what is in the third octet; anything matches in this octet. Therefore, it does not matter what number you put here in the address part of the condition. This can be useful if you use the same address in a subnet for a particular type of device, such as a router, and want to match on these addresses. Of course, the example I gave here was simple; CCIEs would be expected to configure something much harder than this.

NOTE

One item to point out is that the Cisco IOS converts any value in an address to 0 if the corresponding wildcard mask value in the octet is 255. For example, if you specified 172.16.1.1 0.0.255.0, the Cisco IOS would change this to 172.16.0.1 0.0.255.0. Note that when the Cisco IOS performs matching, it ignores all values in the third octet. Cisco uses this process to remove any ambiguity about command configuration.



Wildcard Mask Mistakes
Because of the complexities of wildcard masks, many people make mistakes when configuring the wildcard mask for the address or range of addresses that they want to match on. Here are some common mistakes:

192.168.1.0 255.255.255.0 matches on any packet with any values in the first three octets and a 0 in the last octet. Remember that the mask that you put in is a wildcard mask, not a subnet mask!

192.168.1.1 255.255.255.255 matches on any address. The wildcard mask says to match on all addresses and ignores what you put in for the IP address (192.168.1.1).

192.168.1.0 0.0.0.0 matches on any packet that has an address of 192.168.1.0, which is a network number. Actually, if you see an address like this in a packet, it is a spoofing attack. Probably what the administrator meant to use as a wildcard mask was 0.0.0.255, which is any address in the 192.168.1.0/24 network.

cách đơn giản nhất để bạn tính được wildcard mask đó là lấy 255.255.255.255 - subnet mask
ví dụ :
+ IP add của bạn là 10.0.0.1/255.0.0.0 => wildcard mask là 255.255.255.255 - 255.0.0.0 = 0.255.255.255
+ subnet mask là 255.255.0.0 => wildcard mask là 255.255.255.255 - 255.255.0.0 = 0.0.255.255
+ Như trong ví dụ của bạn, IP Add của bạn là 192.168.4.0/255.255.252.0 bạn lấy 255.255.255.255 - 255.255.252.0 = 0.0.3.255
Chúc bạn thành công !!!

In this last illustration, I use an example that you might see on a CCIE Routing and Switching or Security written or lab exams. In this example, you are given the following network: 172.16.0.0/16. In this network, you want to match on the first address in each subnet, where the subnet mask is /24. You do not care about the subnet number; you care only about the first address in every subnet, such as 172.16.0.1, 172.16.1.1, 172.16.2.1, and so on. Given these requirements, what kind of address and wildcard mask would you use for your condition? Given the requirements, the address must begin with 172.16. Therefore, the first two octets in the wildcard mask are 0.0. You do not care about the subnet number in the third octet, so the wildcard mask is 255 here. But you do care about the last octet. You want to match on the first address (.1), resulting in a 0 in the fourth octet of the wildcard mask. Therefore, the resulting address and wildcard mask in the condition would be 172.16.0.1 0.0.255.0.


Nguyên tắc 255.255.255.255 - subnet mask liệu có còn phù hợp.

bạn chỉ cần tính được địa chỉ broadcasd sau đó lấy 255.255.255.255 trừ đi địa trỉ broadcasd là ra wildcard mask :D

Bác chả hiểu gì cả.

cac ha doc them tai lieu CCNA2 la ro ngay thoi ma

Híc,mỗi bác có 1 cách tính chẳng biết nên theo bác nào.

cách tính như của bạn BigBom84 là chính xác rồi:

có 2 giá trị:

+ subnet mask
+ wildcard mask

=> muốn tính giá trị nào (wildcard mask, hay subnet mask), thì chỉ cần lấy 255.255.255.255 trừ đi giá trị wildcard hay subnet sẽ được giá trị cần tìm cho địa chỉ mạng đó.

Chào !!!
Nhân đây tặng mọi người bài tập làm chơi :
Tạo một Access-list cấm tất cả các máy có Ip chẳng của mạng 172.16.5.0/24 truy cập internet port 80

Chúc mọi người vui !!!

link nay down roi ban oi.ban co link nao khac ko?chi minh voi!!!

Chào !!!
Nhân đây tặng mọi người bài tập làm chơi :
Tạo một Access-list cấm tất cả các máy có Ip chẳng của mạng 172.16.5.0/24 truy cập internet port 80

Chúc mọi người vui !!!

Mình làm thế này, mọi người cùng bàn luận nhé
access-list 100 deny tcp 172.16.5.0 0.0.0.254 any eq 80
access-list 100 permit any any
access-group 100 in


Mong trao đổi thêm với các bạn

Mình làm thế này, mọi người cùng bàn luận nhé
access-list 100 deny tcp 172.16.5.0 0.0.0.254 any eq 80
access-list 100 permit any any
access-group 100 in


Mong trao đổi thêm với các bạn


Chính xác 100% hê hê

Wildcard mask có được bằng cách lấy SM mặc định là 255.255.255.255 trừ đi SM của mạng con
như ví dụ trên
mạng 192.168.4.0 -7.0 la 0.0.3.255
từ .4.0-.7.0 đều là mạng con có SM là /22
để biết được điều này thì bài toán sẽ cho bạn đầy đủ thông tin để tính SM. Nếu không cho thì mặc định theo lớp
Ta có 255.255.255.255
-
255.255.252.0 (chính là SM/22) (không biết cái này thì ngỉ đi)
= 0.0.3.255
Chỉ có vậy !!!
Có gì càn liên hệ vào mail anh
maimaimottinhyeu_hatinh_dh1987@yahoo.com

Phải là: access-list 100 deny tcp 172.16.5.0 0.0.0.255 any eq 80

Subnet Mask là để xác định mạng: Network address = IP AND Subnet Mask
Wildcard Mask là để xác định host: Host = IP AND Wildcard Mask
và điều dễ thấy là : Wildcard Mask = NOT Subnet Mask