Zum Inhalt wechseln


Foto

wildcard mask unklar


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 raphael26

raphael26

    Junior Member

  • 73 Beiträge

 

Geschrieben 29. Juni 2005 - 11:34

Hi Leute,

ich tue mir mit wildcards masken schwer, solange diese nicht in den einzelnen Blocken 0en oder 1en enthalten.

Welcher IP-Bereich wird z. B. hierbei abgedeckt ? Bitte mit kurzer Erklärung:

access-list 100 permit ip any 192.168.0.0 0.0.3.255

Gruss,

Raphael

#2 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 29. Juni 2005 - 12:55

Hallo Raphael,


es wird abgedeckt:

jeglicher ip traffic von 192.168.0.1 -192.168.3.255,

hier relativ easy da 3(dec) entspricht 11 (bin)

Vorsicht bei Wildcardmasken, eine 1 erlaubt hier sowohl eine 0 als auch eine 1

z.b. 192.168.100.100 0.0.1.0 erlaubt 192.168.100.100 und 192.168.101.100


Gruß

Rob

#3 pcjunky

pcjunky

    Newbie

  • 11 Beiträge

 

Geschrieben 29. Juni 2005 - 12:59

Hallo hier wird der Bereich 192.168.0.0 bis 192.168.3.255 abgedeckt.
d.h. du hast hier eine normale maske von 255.255.252.0

Erklärung zum Verständnis: Mit der Wildcard drückst du im Grunde nur die Netzmaske aus die sich in deinem Fall folgendermaßen errechnet. 255.255.255.255
-255.255.252.0

Ergebnis 0. 0. 3.255


Noch ein Beispiel. Du hast eine Maske von 255.255.255.240

hier errechnest du wieder folgendermaßen 255.255.255.255
- 255.255.255.240

=0.0.0.15

Also du ziehst immer deine Netzmaske von einem Vollbitnetz ab und hast dann deine Wildcard.

Also würdest du bei diesem Beispiel den Bereich von 192.168.0.0 -192.168.0.15 abdecken.


Alles klar?

#4 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 29. Juni 2005 - 13:01

nein, so funktioniert das nicht, es war nur ein unglückliches Beispiel, siehe obige Erklärung! das heisst mit wildcardmasken bist du viel flexibler, du könntest z.b sagen nur gerade ips dürfen, ungerade nicht! da hast du mit ner subnetzmaske schlechte karten!

#5 pcjunky

pcjunky

    Newbie

  • 11 Beiträge

 

Geschrieben 29. Juni 2005 - 13:10

@rob67

Sei mir nicht böse aber eine Wildcard von 0.0.1.0 habe ich noch nie gesehen und wäre überrascht wenn es diese gäbe.

Aber ich möchte mich auch nicht so weit aus dem Fenster lehnen aber ich habe es ganz sicher so gelernt wie ich beschrieben habe. Das ich mit Access Listen alles eng bestimmen kann ist klar aber das die Wildcard nur die Netzmaske ausdrückt , dessen bin ich mir sehr sicher.

Allerdings bin ich in dem Bereich niemand der Berufserfahrung damit hätte aber meine Theorie die ich erlernen musste ist noch nicht lange her und da fand ich nichts derartiges das man gerade oder ungerade IP´s unterscheiden könnte per wildcard.

Denn das würde ja heissen das ich eine netzmaske von 255.255.254.255 habe und sowas gibt es nicht oder doch?

#6 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 29. Juni 2005 - 13:17

Hi PCJunky, da muss es sich wohl bei uns um einen ios bug handeln :D, nochmal, wilcardmaske lässt sich nicht in eine Netzmaske übersetzen, sonst hätte man ja gleich die netzmaske schreiben können

#7 pcjunky

pcjunky

    Newbie

  • 11 Beiträge

 

Geschrieben 29. Juni 2005 - 13:24

@rob67

naja wie gesagt ich möchte mich nicht so weit aus dem Fenster lehnen aber wenn die wildcard nicht die netzmaske ausdrückt was dann?

Das man die maske nicht hinschreiben kann ist klar weil cisco das nicht schnallt . Ähnlich wie bei ospf . Aber ich habe das buch von cisco noch vor mir liegen und da steht ganz klar beschrieben das ein trick die wildcard herauszubekommen der ist

255.255.255.255
- Netzmaske

= Wildcard

Also ich habe gestern Prüfung gehabt und bin mit meiner Theorie und die des Buches offensichtlich ganz gut gefahren.

Doch wie gesagt ich möchte nicht ausschliessen das es in der ciscowelt sicher noch einiges gibt was ich nicht kenne.

#8 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 29. Juni 2005 - 13:49

@pcjunki, als du kannst schon versuchen, aus einer netzmaske eine wildcardmaske zu basteln, trotzdem kannst du mit wildcards mehr machen

zb.

wildcardmask 0.0.0.0.254, das letzte Byte ist 11111110, das heißt die letzte Stelle muss gerade sein, alle anderen können gerade oder ungerade sein...

Standard IP access list 9
permit 192.168.0.0, wildcard bits 0.0.0.254

dieser Filter erlaubt nur gerade source adressen!

#9 pcjunky

pcjunky

    Newbie

  • 11 Beiträge

 

Geschrieben 29. Juni 2005 - 14:06

@rob67

aha wieder was dazu gelernt. werde das gleich mal ausprobieren hätte nicht gedacht das man wildcards so speziell einsetzen kann.

Aufgrund der tatsache das das letzte bit fehlt und somit nur gerade ip´s abgefragt werden leuchtet ein.


Wahrscheinlich war es nicht so gefragt bei der ccna prüfung trotzdem gut zu wissen.

Denke aber jetzt sollten wir erst mal die eigentliche frage beantworten und ich glaube die kombi aus unseren aussagen ist gar nicht schlecht.

Einfach zum verständnis wäre es vielleicht gar nicht verkehrt es erst mal mit der netzmaske zu erklären denn die kennt jeder und kann diese maske auch adressen zuordnen.

Das was du eingebracht hast geht ja schon viel weiter.

#10 patrikbolt

patrikbolt

    Newbie

  • 14 Beiträge

 

Geschrieben 04. Juli 2005 - 08:47

Hier die genaue Erklärung. Das sollte eigentlich für jeden klar sein. Im Grunde genommen funktioniert eine Wildcard Maske gleich wie eine Subnet Maske mit dem Unterschied, dass sie invertiert ist. Beispiel: Netz: 172.16.4.0 / 255.255.252.0 (Subnet Maske) entspräche 172.16.4.0 / 0.0.3.255. Binär sieht das dann in etwa so aus: 255.255.252.0 ist 11111111.11111111.11111100.00000000 (Subnet Maske) und die Wildcard Maske ist genau umgekehrt mit den Nullen und Einsen: 00000000.00000000.00000011.11111111. Jetzt müssen nur noch die vier Bytes in Dezimalwerte umgerechnet werden. 00000011 gibt bekanntlich 3.

Noch Fragen? ;-)

#11 Jamthelaw

Jamthelaw

    Newbie

  • 32 Beiträge

 

Geschrieben 18. November 2005 - 18:43

Ich verstehe das Prinzip der Wildcard Maske, aber wie realisiere ich zum beispiel das:

ich möchte alle IP Adressen von 192.168.1.129 bis 192.168.1.190 zulassen.

129 wär binär 10000001
190 wär binär 10111110

wie wäre jetzt die Wildcard dazu???

wenn ich 00111111 als Wildcard nehme, dann wäre die .191 auch zugelassen....
wenn ich 00111101 als Wildcard nehme, dann wäre die .190 nicht zugelassen....

Thx schonmal für die Hilfe

Grüße
Jamthelaw
passed: 70-210 / 70-215 / 70-216 / 70-217 / 70-218 / 70-221 / 70-224
Status: MCP, MCSA, MCSE 2000

#12 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 21. November 2005 - 09:01

Hi Jam, dann nimm die 00111111 und deny vorher die .191 oder 00111101 und nimm zusätzlich die .190 als host dazu (jeweils als zusätzliche Zeile in die ACL), wem das zu kompliziert ist, der sollte mal auf nem bintec filer konfigurieren! :suspect:


gruss

rob