用途:标识一个IP地址的网络位,主机位
网络设备判断目的IP跟自己是否同一网段的依据。
特点:1和0绝对不可能间隔,1总在0的前面。
网络通信角度,子网掩码只具有本地意义。跟对端没有匹配的硬性要求。
误区:一条链路两端的子网掩码必须一致(是习惯不是必须)
例外:ospf 多路访问网络中,掩码不一致会影响ospf邻居关系建立
2.通配符掩码 wildcard mask
用途:选出一组符合否规则的IP地址
特点:0表匹配,1表示不需要匹配。0和1 的位置根据需求可随意穿插
示例1:deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 192.168.1.2 0.0.0.255 192.168.2.2 0.0.0.255
deny ip 192.168.1.3 0.0.0.255 192.168.2.3 0.0.0.255
这三跳条目是完全相同的,效果都是阻止192.168.1.x 访问192.168.1.x (x表示任意数字)
红色字体部分对应的是全1,所以是忽略的 ,写什么都无所谓了
实例2:deny ip 192.168.1.0 255.0.0.255 192.168.2.0 255.0.0.255
deny ip 193.168.1.0 255.0.0.255 193.168.2.0 255.0.0.255
deny ip 194.168.1.0 255.0.0.255 194.168.2.0 255.0.0.255
这三跳条目是完全相同的,效果都是阻止x.168.1.x 访问 x.168.2.x (x表示任意数字)
红色字体部分对应的是全1,所以是忽略的 ,写什么都无所谓了
3. 反掩码(中国式教育的败笔,误人子弟的一个说法,通配符掩码的错误理解)
需求1:阻止192.168.1.0/24 访问 192.168.2.0/24
命令:deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
看起啦确实是把掩码反过来写正好满足要求,实际上逻辑关系已经变了。只是恰巧蒙对了而已。
少有求知欲的同学都有必要问一下,为什么要把掩码反过来写呢?
如果写成 deny ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
严格解读效果是:拒绝 x.x.x.0 访问 x.x.x.0
但是很多版本故作人性化,show run的时候自己给该成了:
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
这属于操作系统对客户错误理解的妥协
后期的思科版本不再做此修改
-----------------------------------------------------------------
需求2:阻止 X.168.1.x 访问 X.168.2.x
命令:deny ip 192.168.1.0 255.0.0.255 192.168.2.0 255.0.0.255
这个需求用反掩码的逻辑恐怕就行不通了吧? 当然这个需求属于怪异需求。
4.ospf的network命令(非rfc规定,各厂家可以自行设计,以下为大部分厂家逻辑)
正解:
Network + IP + wild card bits
Network 通过 IP 和 wild card bits 筛选出一组IP地址,从而定位出需要开启OSPF的接口(谁拥有其中一个IP地址谁就开启OSPF)
接口开启ospf 含义有二:1. 从该接口收发ospf报文
2.该接口所在的网络对应的路由成为ospf的资源,从其他接口发给邻居(当然ospf发的不是路由条目)
示例:inter f0/1
ip add 10.1.1.1 255.255.255.0
router ospf 1
network 10.1.1.1 0.0.0.255 area 0
这个network命令实际上宣告了10.1.1.0-10.1.1.255 这256个地址。
当然在这个环境下恰好有且仅有一个接口在这个范围内。
也就是说把接口的掩码反过来写正好能且只能宣告一个接口。不会多宣告
如果写成
network 10.1.1.1 0.0.0.0 area 0 效果也完全一样
或者写成
network 10.1.1.2 0.0.0.255 area 0 红色字体部分随便写,效果也是一样的
如果写成
network 0.0.0.0 255.255.255.255 area 0 宣告所有的IP地址,也就是所有的接口
如果写成
network 0.0.0.0 0.0.0.0 area 0 也是宣告所有接口,逻辑上讲不通(这个背过吧)