ACLのワイルドカードマスクの使われ方、なぜサブネットマスクと違うのかの理由

スポンサーリンク
スポンサーリンク

ワイルドカードマスクの意味

ACLのワイルドカードは「基準となるIPアドレス」とセットで使われます。

ワイルドカードの bit が 0 の箇所は、基準となるIPアドレスの bit のままになり、ワイルドカードの bit が 1 の箇所は、基準となるIPアドレスの bit は 0 でも 1 でもどちらでも良いと考えます。

例えば192.168.1.9 という基準となるIPアドレスに対し、ワイルドカード 0.0.255.255を適用することを考えます。

すると上記の通り、192.168.0.0/16 のアドレス帯全てと同じ意味になります。

なので、基準となるIPアドレスの第3オクテット、第4オクテットが何であっても、結果は同じになります。

スポンサーリンク

なぜサブネットマスクと違うのか、その理由は?

ACLではなぜサブネットマスクで設定しないのでしょうか。これには明確な根拠があるわけではないのですが、柔軟性を考慮した結果だと考えられます。

例えば 192.168.0.0/16 を /24 のサブネットで社内NWを展開していった際、各セグメントで第4オクテット 1~15 のIPアドレスを特殊用途PCに割り振ったとします。

そしてこの特殊用途PCのみがあるサーバ [IP=10.1.1.1]へアクセスできるようなACLを作る場合は以下のように設定します。

ip access-list 100 permit ip 192.168.0.0 0.0.255.15 host 10.1.1.1

この結果、送信元が 192.168.0.0/16 の中で第3オクテットが自由、第4オクテットが 1~15 のものだけが 10.1.1.1 への通信を許可されます。

スポンサーリンク

第4オクテットが8の倍数の端末を拒否するACL

ワイルドカードで偶数が出てくることは珍しいですが、あり得ない話ではありません

あまり実用性はありませんが、第4オクテットが8の倍数である端末だけを拒否することもできます。

access-list 1 deny 192.168.1.0 0.0.0.248

とすると以下のようになります。

第4オクテットは1,2,4の部分は固定で0となっているので、8の倍数しか作れません

結果、192.168.1.{8, 16, 24, 32, …, 248} が拒否されるACLとなります

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサーリンク