Уважаемые господа приношу свои извинения по поводу тупости вопроса
По причине безграмотного английского, слова wildcard и mask мне представлялись разными понятиями, а оказалось что это одно и то же (подстановочная маска)и всё встало на свои места.
Ученье - свет, а неученье - тоже свет, но тусклый.
Итак для таких же безграмотных как и я рецепт.
Использовался каталист c2950т EMI Version 12.1(13)EA1
Небольшой экскурс
Подстановочная маска - это такая маска по которой определяется совпадение с IP адресом пакета
например
deny ip any 192.168.1.0 0.0.0.255
означает что для действия deny достаточно чтобы первые 3 октета IP адреса совпали, то есть данная маска подходит для любого пакета адресованного хосту в сети 192.168.1.х
В подстановочных масках помимо числа 255 (указывающее на все возможные значения)можно использовать числа 1,3,7,15,31,63,127
для примера возьмём случай немного попроще чем у меня, нужно отфильтровать все пакеты адресованные хостам 192.168.1.57 - 192.168.1.62 для этого выбираем маску подстановки такую чтоб в неё попали все адреса или большая их часть.
Выбор маски
Для того чтобы понять какую маску надо брать необходимо помнить что:
маска 1- это 2 хоста, 3 - 4,7 - 8, и т.д. (просто прибавьте 1 к маске).
И каждая маска делит сеть на некоторое количество равных кусков, у маски 7 этих кусков 31 по 8 хостов в каждом. Т. к. у нас хосты с 57 по 62, то мы берём маску 7 и кусок адресов 56-63, можно взять и другие, большие маски 15 или 31, но тогда в них попадёт и большее кол-во хостов, а нужно всего 6. Теперь пишем строку правила
deny ip any 192.168.1.56 0.0.0.7
Обратите внимание что в качестве адреса получателя пишется первый адрес из выбранного блока адресов (56-63), именно с него и начнётся отсчёт 8 адресов в сторону увеличения. Конечно можно просто указать каждый хост новой строкой, а если их не 6 а 60?
Сразу хочу указать на те грабли об которые споткнулся сам, если вы указываете маску 0.0.0.7 или любую другую, (0.0.0.0 или host такая же маска как и любая другая), то в строках списка которые будут далее необходимо использовать только её. Иначе при попытке применить ACL получите отлуп.Например
switch1(config)#ip access-list ext 109
switch1(config-ext-nacl)#deny ip any 192.168.1.56 0.0.0.7
switch1(config-ext-nacl)#deny ip any 192.168.1.208 0.0.0.15
switch1(config-ext-nacl)#permit ip any any
switch1(config-ext-nacl)#end
switch1(config)#int fa 0/17
switch1(config-if)#ip access-group 109 in
%Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.
Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interface.
Отсюда же следует вывод что
deny ip any host 192.168.1.57
...............................
...............................
deny ip any host 192.168.1.62
permit ip any 192.168.5.0 0.0.0.255
тоже не пройдёт
Сразу оговорюсь, данные ACL прокатят на маршрутизаторе (eth порты с ip адресом), виртуальном порту (interface vlan 1)виртуальные порты используются для управления устройством, на свиче 3 уровня если порт переведён в режим no switchport (с2950t EMI свич 2 уровня)или в группе IRB, то есть имеет IP адрес.
Так вот листинг того что у меня в итоге получилось
Задачу смотри в начале треда
deny ip any 192.168.1.4 0.0.0.3
deny ip any 192.168.1.8 0.0.0.3
...............................
...............................
...............................
deny ip any 192.168.1.244 0.0.0.3
deny ip any 192.168.1.248 0.0.0.3
permit ip any any
При этом правда в отсев не вошли адреса 2,3,252,254
И будут сложности при необходимости отфильтровать ещё что либо из других сетей
Но всё же это лучше чем совсем ничего.
Если я был где-то не прав гуру меня поправят
Всем спасибо за ответы
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on
19-Апр-05, 16:42 (MSK)
