张新宇通配符(wildcard),就是万用牌的意思;通配符是计算机中频繁使用的符号, 常见使用场景在在搜索中代替不确定的字符。比如在windwos文件夹搜索rar文件,可以使用*.rar搜索。
在网络配置中也经常使用通配符,常见使用场景是配置访问控制列表(Access Control List);由于网络设备使用中的常用的通配符与子网掩码相反,为了区分人们把网络设备中使用的通配符称为反掩码,我认为这里叫通配符掩码更合适;实质上它只是通配符表达方式中其中的一种. 本文以网络配置中配置nat转换实验为例,讨论通配符掩码的使用方法与使用场景。
以华为ensp模拟器为例,拓扑图如下,某公司有3个部门分别对应3台交换机,由于只有一个公网ip,所以采用nat上网,网络中所有交换机路由器已配置完毕。
我们知道,数据包传输过程中需要的知道源地址(source)和目的地址(destination),网络地址转换技术(Nat)就是把私网机器传输的数据包中的源地址 转换公网地址,再通过传输层从网关路由器传输到公网,达成私有地址上网的目的,通常网络配置中使用访问控制列表控制那些地址需要转换。
在实验例子中我们查看Gs路由器访问控制列表,我们看到访问控制列表是所有地址都转换,这样的一刀切的确实能做到所有主机上网,但面临安全问题时候,不够严谨,还有某些场景一些主机不需要转换ip地址例如使用 IPsec 时候。
面对这种情况我们会编写以下规则来配置acl
192.168.88.0 0.0.0.255
192.168.188.0 0.0.0.255
192.168.30.0 0.0.0.255那么问题来了;如有若干个子网需要访问互联网,我们就要配置若干条规则,我们是否能够有通用的即安全又简便的方法呢,这里就要用到通配符的概念,在路由器配置中, 以“0”或“1”表示与ip地址是否匹配, “0”代表精确匹配,而“1“代表模糊匹配 。以上拓扑3个网络为例,为了让大家更直白了解通配符概念我们将以上3个地址转换为二进制
11000000.10101000.01011000.00000000
11000000.10101000.01011000.00000000
11000000.10101000.00011110.00000000“0”代表精确匹配,“1“代表模糊匹配 ,我们增加如下行
11000000.10101000.01011000.00000000
11000000.10101000.01011000.00000000
11000000.10101000.00011110.00000000
00000000.00000000.11111111.11111111转换为10进制:
192.168.88.0
192.168.188.0
192.168.30.0
0.0.255.255 在通配符概念中“1“代表模糊匹配 ,”1“对应的的地址是什么就不重要了,这里我们取192.168.88.0地址为例,配置acl。
192.168.88.0 0.0.255.255 
可以看到路由器会把”1“对应不重要的数归为0,通过ping检测都能上网。
通过配符掩码我们还能实现尾数是偶数的ip地址可以上网的功能
192.168.1.2
11000000.10101000.00000001.00000010
11111111.11111111.11111111.11111110
255.255.255.254 上面说道通配符概念中“1“代表模糊匹配 ,”1“对应的的数字是什么就不重要了,这里我们取192.168.1.2地址为例,配置acl
通过ping发现pc4能ping通,pc1是奇数地址不能ping通。
通过实验我们证实网上通说的”反掩码“,只是通配符掩码其中的常用的子集,用 ”反掩码“ 的名字似乎不能体现其作用,更不能正确的指引实践满足需求。
