通配符掩码

IPv4 ACE 包括通配符掩码。 通配符掩码是由 32 个二进制数字组成的字符串,路由器使用它来确定检查地址的哪些位匹配。

注意:不同于 IPv4 ACL,IPv6 ACL 不使用通配符掩码。 相反,它使用前缀长度来表示应匹配的 IPv6 源地址或目的地址数量。 IPv6 ACL 将在本章后续部分讨论。

和子网掩码一样,通配符掩码中的数字 1 和 0 用于标识如何处理相应的 IP 地址位。 但是,在通配符掩码中,这些位的用途不同,所遵循的规则也不同。

子网掩码使用二进制 1 和 0 标识 IP 地址的网络、子网和主机部分。 通配符掩码使用二进制 1 和 0 过滤单个 IP 地址或一组 IP 地址,以便允许或拒绝对资源的访问。

通配符掩码和子网掩码之间的差异在于它们匹配二进制 1 和 0 的方式。 通配符掩码使用以下规则匹配二进制 1 和 0:

图 1 显示了不同通配符掩码过滤 IP 地址的方式。 在本示例中,请记住,二进制 0 表示必须匹配的位,而二进制 1 表示可以忽略的位。

注意:通配符掩码通常也称为反码。 原因在于通配符掩码与子网掩码的工作方式相反,子网掩码采用二进制 1 表示匹配,而二进制 0 表示不匹配。

使用通配符掩码

图 2 中的表格显示了将 0.0.255.255 通配符掩码应用到 32 位 IPv4 地址中的结果。 请记住二进制 0 表示应匹配的值。

在配置某些 IPv4 路由协议(例如 OSPF)时,通配符掩码也可用于在特定接口上启用协议。