ACL 通配符掩码的应用「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。

 ACL（Access Control List）  访问控制列表在作为数据包的过滤器以及在对指定的某种类型的数据包的优先级，起到了对某些数据包的优先级起到了限制流量的作用，减少了网络的拥塞。

          通配符掩码作为ACL中重要的一部分，是路由器在进行访问控制时必不可少的重要部件，那么什么是通配符掩码呢？

          通配符掩码：路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围，在访问控制列表中，将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位，设置成0 的表示必须精确的匹配ip地址中的对应位。

              通配符掩码中，可以用255.255.255.255表示所有IP地址，因为全为1说明32位中所有位都不需检查，此时可用any替代。而0.0.0.0的通配符则表示所有32位都必须要进行匹配，它只表示一个IP地址，可以用host表示。

          举例来说：

          192.168.1.0 0.0.0.255

          这个例子中，通配符掩码是0.0.0.255，前面24位是0，最后8位是1，也就是前面24位必须精确匹配，最后8位是什么都没关系。将这个通配符和前面的IP地址192.168.1.0 结合起来意思就是,匹配从192.168.1.0到192.168.1.255的所有IP地址（这和OSPF或EIGRP中的反掩码是一个道理）。

         192.168.0.0 0.0.255.255

          这个例子匹配的IP地址范围就是192.168.0.0-192.168.255.255。

          192.168.16.0 0.0.7.255

          这个例子中，通配符掩码的第三个数是7，IP地址的第三位是16，对他们进行分解转化成二进制就是:

       7 = 00000 111
       16 = 00010 000

          前面说过，通配符掩码中0的部分必须精确匹配，1的部分什么都可以，也就是说16的二进制表示法前面的5位（00010）必须精确匹配，最后3位的取值范围可以是(000-111)，那么就是:

           00010000-00010111,转化成十进制就是16-23。

            所以这条规则匹配的IP地址范围就是”192.168.16.0-192.168.23.255″。

       192.168.1.0 0.0.0.254

         这条规则匹配的是192.168.1.0中所有偶数IP地址。

        192.168.1.1 0.0.0.254

这条规则匹配的是192.168.1.0中所有奇数IP地址。