通配符掩码

网络基础知识（经典）-掩码、反掩码和通配符掩码、反掩码和通配符[b]【掩码、反掩码和通配符】[/b]Mask 用来区分一个IP地址的网络部分和主机部分由左至右连续的“1”来表示网络位的部分，不能被0断开！！连续的“0”用来表示主机位的部分IP地址与掩码做“与”运算，得出的结果就是“网络ID”172.16.0.0255.255.0.0这个组合说明这是一个网络ID，掩码为 /16掩码只能取下面的值：0000 0000 = 01000 0000 = 1281100 0000 = 1921110 0000 = 2241111 0000 = 2401111 1000 = 2481111 1100 = 2521111 1110 = 2541111 1111 = 255“1”表示网络部分的位数，照抄“0”表示主机部分的位数，全0---------------------------------------------------------------------Wild Card (反掩码) 用来表示主机位的个数由右至左连续的"1"来表示主机位的个数，不能被0断开！！一个IP前缀 + 反掩码 = IP地址的范围有反掩码来控制这个范围的大小。

反掩码只能取下面的值：0000 0000 = 0 1个IP地址0000 0001 = 1 2个IP地址0000 0011 = 3 4个IP地址0000 0111 = 7 8个IP地址0000 1111 = 15 16个IP地址0001 1111 = 31 32个IP地址0011 1111 = 63 64个IP地址0111 1111 = 127 128个IP地址1111 1111 = 255 256个IP地址“0”表示不能改变的部分，既被固定的前缀部分。

“1”表示可变的部分，任意取值，既可取的IP地址部分。

例如：172.16.0.00.0.255.255这个组合表示从172.16.0.0~172.16.255.255这65536个IP地址192.168.1.00.0.0.255这个组合表示从192.168.1.0 ~ 192.168.1.255 这256个IP地址12.1.1.10.0.0.0表示所有bit固定不变。

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。

通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。

建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。

在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。

IP访问控制列表的分类标准IP访问控制列表当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。

标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问控制列表扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。

扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。

命名访问控制列表在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。

使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

通配符掩码通配符掩码是一个32比特位的数字字符串，它被用点号分成4个8位组，每组包含8比特位。

在通配符掩码位中，0表示“检查相应的位”，1表示“不检查相应的位”。

通配符掩码与IP地址是成对出现的，通配符掩码与子网掩码工作原理是不同的。

反掩码详解————————————————————————————————作者: ————————————————————————————————日期:ﻩ反掩码详解在配置路由协议的时候(如ＯSＰＦ、EIGＲP ）使用的反掩码必需是连续的１即网络地址。

例：ｒoute osｐf 100 ｎeｔｗork 19２.16８．1．０0.０．０.255 ｎeｔwork 192.１68.２.０0.0.0．2５5 而在配置ACL的时候可以使用不连续的1，只需对应的位置匹配即可。

例:acｃｅｓs-lｉst 1 peｒmit 1９８.78.46.0 0.0.11.2５5ﻫ正掩码和反掩码的区别:正掩码必须是连续的，而反掩码可以不连续，例如:Ｃ类地址子网掩码中不可以出现２55.253.255．0（二进制为1111111１111111０１1111１１11 00００000０）这样的掩码;而反掩码可以出现0.０.0.２（二进制为00000 00０00）。

正掩码表示的路由条目,而反掩码表示的范围。

反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。

在反掩码中，相应位为1的地址在比较中忽略，为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.25５.0 wilｄcarｄ-ｍaｓk 就是0.0.0.2５5255.2５5.255.２48 反掩就是０.0.0.7通配符掩码(wiｌｄcarｄ-mask)ﻫ路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样，通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。

这个地址掩码对使我们可以只使用两个3２位的号码来确定IP地址的范围。

这是十分方便的，因为如果没有掩码的话，你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

通配符掩码计算1. 什么是通配符掩码通配符掩码，又称反向子网掩码，是网络管理员在配置路由器和其他网络设备时，用于匹配一个或多个特定的IP地址或地址段的一种方法。

通配符掩码同样是由四个八位的二进制数构成，但与子网掩码不同，通配符掩码的“1”表示忽略匹配，即该位可以是任何值，而“0”则表示必须匹配，即该位必须完全符合。

2. 如何计算通配符掩码通配符掩码的计算过程较为简单，只需要将255减去相应的子网掩码中的每一个数即可。

例如，一个子网掩码为255.255.255.0，其对应的通配符掩码就是0.0.0.255；如果一个子网掩码为255.255.248.0，其对应的通配符掩码就是0.0.7.255。

3. 通配符掩码的使用通配符掩码主要应用在Access Control List (ACL)中。

ACL是一种安全策略，用于控制特定路由器接口进出的数据包，包括允许或拒绝某些类型的数据包。

在定义ACL时，需要使用通配符掩码来指定哪些IP地址或地址段被ACL包含。

例如，若想要匹配C类地址192.168.1.0这个网络，可以使用通配符掩码0.0.0.255，这样就可以匹配到从192.168.1.0到192.168.1.255的所有IP地址。

4. 注意事项在使用通配符掩码时，需要注意其“1”和“0”的含义与子网掩码所不同。

在子网掩码中，“1”表示网络地址，需要匹配；“0”表示主机地址，可以变动。

但在通配符掩码中，“1”表示忽略，可以变动；“0”表示必须匹配，不能变动。

总的来说，通配符掩码是一个非常有用的工具，不仅能够帮助我们简化IP地址的匹配过程，还能够更为精确地控制网络通信，提高网络安全性。

acl通配符掩码计算ACL（访问控制列表）是用于网络安全中的重要工具，通配符掩码是ACL中常用的一种技术。

本文将介绍ACL通配符掩码的计算方法，并探讨其在网络安全中的应用。

首先，什么是ACL通配符掩码？ACL是一种用于控制网络流量的机制，它决定了哪些数据包能够进入或离开网络。

而通配符掩码则是用于匹配IP地址的一种方法。

通配符掩码是一个32位的二进制数，用于表示IP地址的每一位是否需要进行匹配。

在计算通配符掩码时，需要了解IP地址和子网掩码的概念。

IP地址是网络中用于唯一标识设备的地址，而子网掩码则用于划分IP地址的网络部分和主机部分。

通配符掩码可以通过子网掩码来计算得到。

通配符掩码的计算方法如下：首先将子网掩码中每个位上的值取反（0变1，1变0），然后与IP地址进行按位与运算。

这样得到的结果即为通配符掩码。

例如，假设有一个IP地址为192.168.1.0，子网掩码为255.255.255.0。

首先将子网掩码取反得到0.0.0.255，然后与IP地址进行按位与运算，结果为192.168.1.0。

所以通配符掩码为0.0.0.255。

通配符掩码的计算对于网络安全非常重要。

它可以用于ACL中来控制网络流量的进出。

通过设置ACL规则，可以限制特定IP地址或一定范围的IP地址的访问权限，提高网络的安全性。

举个例子，假设你是一家公司的网络管理员，想要限制某个部门员工只能访问内部网络的一部分资源。

你可以通过ACL和通配符掩码来实现。

首先，你需要计算出该部门员工的IP地址范围所对应的通配符掩码。

然后，你可以在网络设备上配置ACL规则，允许该部门员工的IP地址范围访问特定的资源，而禁止其访问其他资源。

使用ACL通配符掩码不仅可以实现访问控制，还可以提高网络性能。

通过设置ACL规则，可以过滤掉一些无关的网络流量，从而减少网络带宽的消耗，提升网络的传输效率。

但是，在使用ACL通配符掩码时也要注意一些问题。

首先，要确保ACL规则设置正确，否则可能会导致错误的访问限制或开放。

通配符掩码匹配原理
首先，让我们来看一下通配符的基本含义。

在通配符掩码中，
通配符通常用特殊字符来表示，比如星号（）代表匹配零个或多个
任意字符，问号（?）代表匹配单个任意字符。

当我们要匹配一个字
符串时，我们可以使用通配符掩码来表示匹配的模式，然后通过匹
配算法来确定是否匹配成功。

通配符掩码匹配的原理可以简单描述为，对于给定的通配符掩
码和目标字符串，我们需要逐个字符地比较它们，根据通配符的含
义和匹配规则来判断是否匹配。

在这个过程中，我们需要考虑通配
符的不同含义，比如星号代表匹配任意长度的任意字符序列，问号
代表匹配单个字符等。

然后根据匹配规则来确定是否匹配成功。

在实际的匹配过程中，我们通常会使用递归或动态规划等算法
来实现通配符掩码匹配。

这些算法会考虑通配符的不同含义，以及
匹配字符串的不同情况，来确定是否匹配成功。

在算法执行过程中，会涉及到字符的逐个比较、通配符的含义解释、匹配状态的记录等
步骤，从而确定最终的匹配结果。

总的来说，通配符掩码匹配原理涉及了对通配符含义的解释和
匹配规则的确定，以及针对不同情况的匹配算法的实现。

通过合理的算法设计和匹配规则的确定，我们可以实现高效准确的通配符掩码匹配，从而满足不同场景下的字符串匹配需求。

acl掩码匹配规则摘要：一、acl 掩码匹配规则简介1.acl 掩码的作用2.掩码匹配规则的分类二、acl 掩码匹配规则详解1.通配符掩码2.扩展通配符掩码3.反向掩码4.偏移量掩码三、acl 掩码匹配规则的应用1.网络安全策略2.路由策略四、总结正文：一、acl 掩码匹配规则简介在计算机网络中，acl（Access Control List，访问控制列表）是一种用于控制网络通信访问的技术。

通过配置acl，可以限制特定网络流量的访问权限。

掩码匹配规则是acl 中的一种重要概念，它用于定义网络地址的匹配方式。

了解掩码匹配规则对于网络工程师来说至关重要，因为它可以帮助他们更精确地控制网络流量。

二、acl 掩码匹配规则详解1.通配符掩码通配符掩码是最基本的掩码类型，它使用通配符“*”来表示任意数量的字符。

例如，如果要匹配所有以“192”开头的IP 地址，可以使用通配符掩码“0.0.0.255”。

2.扩展通配符掩码扩展通配符掩码是一种更灵活的掩码类型，它使用“?”符号来表示一个字符，使用“[]”符号来表示字符范围。

例如，如果要匹配所有以“192”开头、第三字节为“6”的IP 地址，可以使用扩展通配符掩码“0.0.1[0-9].*”。

3.反向掩码反向掩码是一种特殊的掩码类型，它将IP 地址的每个字节取反，然后与原始IP 地址进行比较。

例如，如果要匹配所有以“192”开头、第三字节为“6”的IP 地址，可以使用反向掩码“11000000.00000000.00000001.00000000”。

4.偏移量掩码偏移量掩码是一种用于匹配特定IP 地址范围的掩码类型。

它通过指定一个偏移量来匹配特定范围内的IP 地址。

例如，如果要匹配所有以“192”开头、第三字节为“6”的IP 地址，可以使用偏移量掩码“0.0.1[0-9].*”，并指定偏移量为6。

三、acl 掩码匹配规则的应用1.网络安全策略在网络安全策略中，acl 掩码匹配规则用于限制特定IP 地址或IP 地址范围的访问权限。

学习ACL,搞懂ACL就不能不搞定wildcard mask,通配符掩码。

说简单点,通配符掩码就是0为绝对匹配,必须严格匹配才行,而1为任意,从某种意义上讲,如果一个8位上有一个1字符,那也只有两种方式,0或者1,但是如果进行组合,那么方式就多了。

举例说明吧。

一般我们在应用上都是进行地址块的匹配,怎么讲呢?就是说:1)对某个A B C类网进行匹配或者教通配符屏蔽2)对某个子网应用ACL。

3)对特定主机应用ACL4)对任意主机或者网络应用ACL5)特殊情况的匹配差不多就是以上五种情况,下面一一说明。

1)对某个有类网络进行ACL的通配符屏蔽。

这种情况很好解释。

例如:A类:10.0.0.0 0.255.255.255先写成二进制形式:00001010.00000000.00000000.0000000000000000.11111111.111111111.11111111可以看出,第一个字节需要严格匹配,也就是说必须为10.,后面的任意匹配。

得到的网络为10.*.*.*如果我把这个改一下呢?10.0.0.0 0.0.3.255同样写成二进制形式:00001010.00000000.00000000.0000000000000000.00000000.00000011.111111111前两个字节严格匹配为10.0,后面的同上题一个思路,0就严格匹配,1就任意。

在这里,后10个比特可以任意匹配,我们通过计算可以得到合适的结果:10.0.0.*10.0.1.*10.0.2.*10.0.3.*这四个子网2)对某个子网应用ACL还是举例说明,以C类网络192..168.1.0/24为例进行子网划分。

我们引入地址块的思想进行解释会好理解一些。

因为子网一般都是以地址块形式存在的。

地址块为128,192.168.1.128 0.0.0.127地址块为64,192.168.1.0 0.0.0.63地址块为32,192.168.1.0 0.0.0.31地址块为16,192.168.1.0 0.0.0.15地址块为8,192.168.1.0 0.0.0.7地址块为4,192.168.1.0 0.0.0.3地址块为2,192.168.1.0 0.0.0.13)对特定主机应用ACL通配符需要全匹配,例如:182.168.12.4 0.0.0.0还有一种表示方法:host 182.168.12.4Host在这里是关键字,用来代替0.0.0.0 ,用于源地址和目的地址字段。

反掩码详解正掩码和反掩码的区别：正掩码必须是连续的，而反掩码可以不连续，例如：C类地址子网掩码中不可以出现255.253.255.0（二进制为11111111 11111101 11111111 00000000）这样的掩码；而反掩码可以出现0.0.0.2（二进制为00000000 00000000 00000000 00000010）。

正掩码表示的路由条目，而反掩码表示的范围。

反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位。

在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查。

IP地址与反掩码都是32位的数由于跟子网掩码刚好相反，所以也叫反掩码。

例如掩码是255.255.255.0 ， wildcard-mask（通配符掩码）就是0.0.0.255 ，255.255.255.248 ，反掩就是0.0.0.7。

通配符掩码(wildcard-mask)路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络位一样，通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。

这个地址掩码使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的，因为如果没有掩码的话，你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

所以地址掩码对相当有用。

在子网掩码中，将掩码的一位设成1表示IP地址对应的位属于网络地址部分。

相反，在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。

有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们。

掩码位设成0则表示IP地址中相对应的位必须精确匹配。

在通配符掩码中，值为0 的八位位组表示网络地址中相应的八位位组必须严格匹配。

另一方面，职位255则表示不必关心网络地址中相应的八位位组的匹配情况。

反掩码详解在配置路由协议的时候（如OSPF、EIGRP ）使用的反掩码必需是连续的1即网络地址。

例: route ospf 100 network 192.168。

1。

0 0。

0。

0.255 network 192。

168.2.0 0。

0。

0。

255而在配置ACL的时候可以使用不连续的1，只需对应的位置匹配即可。

例:access-list 1 permit 198.78.46。

0 0。

0。

11.255正掩码和反掩码的区别：正掩码必须是连续的，而反掩码可以不连续,例如：C类地址子网掩码中不可以出现255.253。

255.0（二进制为11111111 11111101 11111111 00000000)这样的掩码；而反掩码可以出现0。

0.0。

2（二进制为00000000 00000000 00000000 00000010）。

正掩码表示的路由条目,而反掩码表示的范围。

反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位。

在反掩码中，相应位为1的地址在比较中忽略，为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.255。

0 wildcard—mask 就是0。

0.0.255255.255。

255.248 反掩就是0。

0.0。

7通配符掩码（wildcard—mask）路由器使用的通配符掩码（或反掩码)与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配，它需要检查IP 地址中的多少位。

这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的，因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程.所以地址掩码对相当有用。

在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。

另类通配符掩码另类通配符掩码通配符掩码(Wildcard mask)，也叫反掩码。

0表示绝对匹配，而1表示无需匹配。

1. 有类网络的通配符掩码，例如：A类：10.0.0.0 0.255.255.255B类：172.16.0.0 0.0.255.255C类：192.168.1.0 0.0.0.2552. C类私有子网为例的一些反码，例如：192.168.1.0/24 192.168.1.0 0.0.0.255192.168.1.0/25 192.168.1.0 0.0.0.127192.168.1.0/28 192.168.1.0 0.0.0.31192.168.1.0/31 192.168.1.0 0.0.0.1可以看出规律：1, 3, 7, 15, 31, 63, 127, 255，这些都是常见的通配符数字。

3. 特定主机192.168.1.8 0.0.0.0 通常可简写为host 192.168.1.84. 任意主机0.0.0.0 255.255.255.255 简写为anyhost 0.0.0.0 可表示任意目标5. 特殊的通配符掩码（本文关注的重点）A) 192.168.1.1 0.0.0.254 //匹配192.168.1.0/24子网中奇数主机B) 192.168.1.2 0.0.0.254 //匹配192.168.1.0/24子网中偶数主机什么是这样呢？我们将IP地址和反码都转换为反码来看看。

因为0.0.0.254前三段全为0，表示全匹配，所以现在只看IP最后一段，首先192.168.1.1 0.0.0.254：1: 0000000111111110 (254的二进制值)//最后一位须为1才匹配2: 00000010 11111110 //IP最后一位不是1，不满足条件3: 0000001111111110 //最后一位为1，符合条件4: 00000100 11111110 //最后一位为0，不符合条件5: 0000010111111110 //最后一位为1，符合条件6: 00000110 11111110 //最后一位为0，不符合条件7: 0000011111111110 //最后一位为1，符合条件8: 00001000 11111110 //最后一位为0，不符合条件..............................依次类推，可以看出规律，192.168.1.1 0.0.0.254匹配奇数IP。

通配符掩码算法1. 简介通配符掩码（Wildcard Mask）算法是一种用于网络编程和网络设备配置的技术。

它可以帮助我们通过使用通配符来匹配IP地址的一部分，从而实现更灵活的网络地址匹配和过滤。

在计算机网络中，IP地址是用于唯一标识网络上的设备的地址。

IP地址由一系列数字组成，通常表示为四个由点分隔的数字，例如192.168.0.1。

每个数字的范围是0到255，共有2^32个可能的IP地址。

通配符掩码是一个与IP地址相对应的二进制数字，用于指示哪些位应该进行匹配。

通配符掩码中的1表示对应位应该匹配，0表示对应位可以忽略。

通过使用通配符掩码，我们可以实现对IP地址的特定部分进行模糊匹配，从而更方便地进行网络地址过滤和路由配置。

2. 通配符掩码的使用通配符掩码通常用于以下两个方面：2.1 网络地址匹配在网络设备配置中，我们经常需要对IP地址进行匹配，以确定是否属于某个特定的网络。

例如，我们可能希望配置一个路由器，只允许特定网络的流量通过。

这时，我们可以使用通配符掩码来指定网络地址的范围。

通配符掩码的使用方式类似于子网掩码。

子网掩码用于确定IP地址中的网络部分和主机部分，而通配符掩码用于确定IP地址的某些部分是否需要匹配。

例如，如果我们有一个网络地址为192.168.0.0/24（子网掩码为255.255.255.0）的网络，我们可以使用通配符掩码来指定只匹配该网络中的一部分IP地址。

比如，我们可以使用通配符掩码0.0.0.255，其中最后一个字节的最低8位（即最后一个数字）需要匹配。

2.2 访问控制列表（ACL）匹配访问控制列表（ACL）用于控制网络设备上的流量流向。

ACL可以根据源IP地址、目标IP地址、协议类型等条件来过滤流量。

通配符掩码在ACL中被广泛使用，用于指定哪些IP地址应该被允许或禁止。

通配符掩码在ACL中的使用方式与网络地址匹配类似。

我们可以使用通配符掩码来指定需要匹配的IP地址的范围，然后根据ACL的配置来决定流量的处理方式。

反掩码就是通配符掩码通过标记0和1告诉设备应该匹配到哪位。

在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查.IP地址与反掩码都是32位的数由于跟子网掩码刚好相反，所以也叫反掩码例如掩码是255.255.255.0wildcard-mask 就是0.0.0.255255.255.255.248反掩就是0.0.0.7通配符掩码(wildcard-mask)路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样，通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。

这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的，因为如果没有掩码的话，你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

所以地址掩码对相当有用。

在子网掩码中，将掩码的一位设成1表示IP地址对应的位属于网络地址部分。

相反，在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。

有时，可将其称作“无关”位，因为路由器在判断是否匹配时并不关心它们。

掩码位设成0则表示IP地址中相对应的位必须精确匹配。

通配符掩码表CIDR 子网掩码反掩码/30 255.255.255.252 0.0.0.3/29 255.255.255.248 0.0.0.7/28 255.255.255.240 0.0.0.15/27 255.255.255.224 0.0.0.31/26 255.255.255.192 0.0.0.63/25 255.255.255.128 0.0.0.127/24 255.255.255.0 0.0.0.255/23 255.255.254.0 0.0.1.255/22 255.255.252.0 0.0.3.255/21 255.255.248.0 0.0.7.255/20 255.255.240.0 0.0.15.255/19 255.255.224.0 0.0.31.255/18 255.255.192.0 0.0.63.255/17 255.255.128.0 0.0.127.255/16 255.255.0.0 0.0.255.255/15 255.254.0.0 0.1.255.255/14 255.252.0.0 0.3.255.255/13 255.248.0.0 0.7.255.255/12 255.240.0.0 0.15.255.255/11 255.224.0.0 0.31.255.255/10 255.192.0.0 0.63.255.255/9 255.128.0.0 0.127.255.255/8 255.0.0.0 0.255.255.255十进制通配符掩码计算方法用二进制来表示子网掩码值，再用广播地址求其差值，然后再算回十进制。

访问控制列表ACL用途很广，很多方面都要用到ACL。

1. 实现网络的安全访问，对访问网络的流量进行过滤；2.网络地址转换(NAT)；3.QOS及策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务.●标准访问控制列表:Router(config)#access-list 编号策略源地址编号:标准访问控制列表范围.用1--- 99表示策略: permit允许 | deny 拒绝源地址:要严格检查的地址（IP+通配符掩码）通配符掩码-----是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查（为了确定一个具体的主机地址是否匹配条件。

路由器必须检查IP地址的每一位 32 比特。

路由器是怎么知道要检查比特位是多少------通配符掩码）定义了我们要检查IP地址的位数。

例如:对于主机172.16.1.1 通配符掩码 0.0.0.0 32位都要检查对于主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位对于子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机----host 172.16.1.1 任意----any 表示练习：192.168.1.64/28子网掩码：255.255.255.240网络号： 192.168.1.64/28 (借了4位.网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将访问控制列表与接口关联：Router(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务.1.写表:Router(config)#access-list 1 permit host 172.16.1.1Router(config)#access-list 1 permit 172.16.1.2 0.0.0.0(表示两台主机允许)Router(config)#access-list 1 deny any 系统默认拒绝所有2.执行:Router(config)#interface f0/0Router(config-if)#ip access-group 1in访问控制列表的执行过程从上到下,逐条执行严格语句写在上面（范围最小的）如果: 允许少-----先允许,后拒绝所有拒绝少-----先拒绝,后允许所有访问控制列表检查数据包的过程:从上到下，逐条执行。