计算通配符掩码颇具挑战性。 一个简便方法是从 255.255.255.255 减去子网掩码。

通配符掩码计算:示例 1

在该图的第一个示例中,假设您希望允许 192.168.3.0 网络中的所有用户进行访问。 因为其子网掩码是 255.255.255.0,所以您可以从 255.255.255.255 中减去子网掩码 255.255.255.0。 得到的通配符掩码为 0.0.0.255。

通配符掩码计算:示例 2

在该图的第二个示例中,假设您希望允许子网 192.168.3.32/28 中的 14 位用户访问网络。 IP 子网的子网掩码是 255.255.255.240,因此从 255.255.255.255 中减去子网掩码 255.255.255.240。 得到的通配符掩码为 0.0.0.15。

通配符掩码计算:示例 3

在该图的第三个示例中,假设您希望只匹配网络 192.168.10.0 和 192.168.11.0。 同样,您可以从 255.255.255.255 中减去对应的子网掩码(本例中为 255.255.252.0)。 结果是 0.0.3.255。

您可以使用如下所示的两条语句得到相同结果:

R1(config)# access-list 10 permit 192.168.10.0

R1(config)# access-list 10 permit 192.168.11.0

按以下方式配置通配符掩码更为有效:

R1(config)# access-list 10 permit 192.168.10.0 0.0.3.255

思考以下配置,以匹配 192.168.16.0 到 192.168.31.0 范围内的网络:

R1(config)# access-list 10 permit 192.168.16.0

R1(config)# access-list 10 permit 192.168.17.0

R1(config)# access-list 10 permit 192.168.18.0

R1(config)# access-list 10 permit 192.168.19.0

R1(config)# access-list 10 permit 192.168.20.0

R1(config)# access-list 10 permit 192.168.21.0

R1(config)# access-list 10 permit 192.168.22.0

R1(config)# access-list 10 permit 192.168.23.0

R1(config)# access-list 10 permit 192.168.24.0

R1(config)# access-list 10 permit 192.168.25.0

R1(config)# access-list 10 permit 192.168.26.0

R1(config)# access-list 10 permit 192.168.27.0

R1(config)# access-list 10 permit 192.168.28.0

R1(config)# access-list 10 permit 192.168.29.0

R1(config)# access-list 10 permit 192.168.30.0

R1(config)# access-list 10 permit 192.168.31.0

通过使用正确的通配符掩码,可将前面的 16 条配置语句缩短为一条语句,如下所示:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255