wildcard mask unklar

[raphael26 10]

Hi Leute,

 

ich tue mir mit wildcards masken schwer, solange diese nicht in den einzelnen Blocken 0en oder 1en enthalten.

 

Welcher IP-Bereich wird z. B. hierbei abgedeckt ? Bitte mit kurzer Erklärung:

 

access-list 100 permit ip any 192.168.0.0 0.0.3.255

 

Gruss,

 

Raphael

[rob_67 10]

Hallo Raphael,

 

 

es wird abgedeckt:

 

jeglicher ip traffic von 192.168.0.1 -192.168.3.255,

 

hier relativ easy da 3(dec) entspricht 11 (bin)

 

Vorsicht bei Wildcardmasken, eine 1 erlaubt hier sowohl eine 0 als auch eine 1

 

z.b. 192.168.100.100 0.0.1.0 erlaubt 192.168.100.100 und 192.168.101.100

 

 

Gruß

 

Rob

[pcjunky 10]

Hallo hier wird der Bereich 192.168.0.0 bis 192.168.3.255 abgedeckt.

d.h. du hast hier eine normale maske von 255.255.252.0

 

Erklärung zum Verständnis: Mit der Wildcard drückst du im Grunde nur die Netzmaske aus die sich in deinem Fall folgendermaßen errechnet. 255.255.255.255

-255.255.252.0

 

Ergebnis 0. 0. 3.255

 

 

Noch ein Beispiel. Du hast eine Maske von 255.255.255.240

 

hier errechnest du wieder folgendermaßen 255.255.255.255

- 255.255.255.240

 

=0.0.0.15

 

Also du ziehst immer deine Netzmaske von einem Vollbitnetz ab und hast dann deine Wildcard.

 

Also würdest du bei diesem Beispiel den Bereich von 192.168.0.0 -192.168.0.15 abdecken.

 

 

Alles klar?

[rob_67 10]

nein, so funktioniert das nicht, es war nur ein unglückliches Beispiel, siehe obige Erklärung! das heisst mit wildcardmasken bist du viel flexibler, du könntest z.b sagen nur gerade ips dürfen, ungerade nicht! da hast du mit ner subnetzmaske schlechte karten!

[pcjunky 10]

@rob67

 

Sei mir nicht böse aber eine Wildcard von 0.0.1.0 habe ich noch nie gesehen und wäre überrascht wenn es diese gäbe.

 

Aber ich möchte mich auch nicht so weit aus dem Fenster lehnen aber ich habe es ganz sicher so gelernt wie ich beschrieben habe. Das ich mit Access Listen alles eng bestimmen kann ist klar aber das die Wildcard nur die Netzmaske ausdrückt , dessen bin ich mir sehr sicher.

 

Allerdings bin ich in dem Bereich niemand der Berufserfahrung damit hätte aber meine Theorie die ich erlernen musste ist noch nicht lange her und da fand ich nichts derartiges das man gerade oder ungerade IP´s unterscheiden könnte per wildcard.

 

Denn das würde ja heissen das ich eine netzmaske von 255.255.254.255 habe und sowas gibt es nicht oder doch?

[rob_67 10]

Hi PCJunky, da muss es sich wohl bei uns um einen ios bug handeln :D, nochmal, wilcardmaske lässt sich nicht in eine Netzmaske übersetzen, sonst hätte man ja gleich die netzmaske schreiben können

[pcjunky 10]

@rob67

 

naja wie gesagt ich möchte mich nicht so weit aus dem Fenster lehnen aber wenn die wildcard nicht die netzmaske ausdrückt was dann?

 

Das man die maske nicht hinschreiben kann ist klar weil cisco das nicht schnallt . Ähnlich wie bei ospf . Aber ich habe das buch von cisco noch vor mir liegen und da steht ganz klar beschrieben das ein trick die wildcard herauszubekommen der ist

 

255.255.255.255

- Netzmaske

 

= Wildcard

 

Also ich habe gestern Prüfung gehabt und bin mit meiner Theorie und die des Buches offensichtlich ganz gut gefahren.

 

Doch wie gesagt ich möchte nicht ausschliessen das es in der ciscowelt sicher noch einiges gibt was ich nicht kenne.

[rob_67 10]

@pcjunki, als du kannst schon versuchen, aus einer netzmaske eine wildcardmaske zu basteln, trotzdem kannst du mit wildcards mehr machen

 

zb.

 

wildcardmask 0.0.0.0.254, das letzte Byte ist 11111110, das heißt die letzte Stelle muss gerade sein, alle anderen können gerade oder ungerade sein...

 

Standard IP access list 9

permit 192.168.0.0, wildcard bits 0.0.0.254

 

dieser Filter erlaubt nur gerade source adressen!

[pcjunky 10]

@rob67

 

aha wieder was dazu gelernt. werde das gleich mal ausprobieren hätte nicht gedacht das man wildcards so speziell einsetzen kann.

 

Aufgrund der tatsache das das letzte bit fehlt und somit nur gerade ip´s abgefragt werden leuchtet ein.

 

 

Wahrscheinlich war es nicht so gefragt bei der ccna prüfung trotzdem gut zu wissen.

 

Denke aber jetzt sollten wir erst mal die eigentliche frage beantworten und ich glaube die kombi aus unseren aussagen ist gar nicht schlecht.

 

Einfach zum verständnis wäre es vielleicht gar nicht verkehrt es erst mal mit der netzmaske zu erklären denn die kennt jeder und kann diese maske auch adressen zuordnen.

 

Das was du eingebracht hast geht ja schon viel weiter.

[patrikbolt 10]

Hier die genaue Erklärung. Das sollte eigentlich für jeden klar sein. Im Grunde genommen funktioniert eine Wildcard Maske gleich wie eine Subnet Maske mit dem Unterschied, dass sie invertiert ist. Beispiel: Netz: 172.16.4.0 / 255.255.252.0 (Subnet Maske) entspräche 172.16.4.0 / 0.0.3.255. Binär sieht das dann in etwa so aus: 255.255.252.0 ist 11111111.11111111.11111100.00000000 (Subnet Maske) und die Wildcard Maske ist genau umgekehrt mit den Nullen und Einsen: 00000000.00000000.00000011.11111111. Jetzt müssen nur noch die vier Bytes in Dezimalwerte umgerechnet werden. 00000011 gibt bekanntlich 3.

 

Noch Fragen? ;-)

[Jamthelaw 10]

Ich verstehe das Prinzip der Wildcard Maske, aber wie realisiere ich zum beispiel das:

 

ich möchte alle IP Adressen von 192.168.1.129 bis 192.168.1.190 zulassen.

 

129 wär binär 10000001

190 wär binär 10111110

 

wie wäre jetzt die Wildcard dazu???

 

wenn ich 00111111 als Wildcard nehme, dann wäre die .191 auch zugelassen....

wenn ich 00111101 als Wildcard nehme, dann wäre die .190 nicht zugelassen....

 

Thx schonmal für die Hilfe

 

Grüße

Jamthelaw

[rob_67 10]

Hi Jam, dann nimm die 00111111 und deny vorher die .191 oder 00111101 und nimm zusätzlich die .190 als host dazu (jeweils als zusätzliche Zeile in die ACL), wem das zu kompliziert ist, der sollte mal auf nem bintec filer konfigurieren! :suspect:

 

 

gruss

 

rob