Cisco ACL 反向通配符与对象组

网络工程 思科 防火墙 acl
2022-02-08 03:03:25

我有三个服务组,WWW, SMTP and FTP. 我想使用wildcard掩码进行隔离并将它们划分为逻辑子网。

示例:我们有 192.168.100.0/24 子网,简而言之,我想将 50% 的 IP 分配给 WWW 和 25% - SMTP,其余 25% 的 FTP

www - 128 host
smtp - 64 host
ftp - 64 host

更新

我的 ACL 将是这样的。

access-list 101 permit tcp any 192.168.100.0 0.0.0.127 eq www
access-list 101 permit tcp any 192.168.100.128 0.0.0.63 eq smtp
access-list 101 permit tcp any 192.168.100.192 0.0.0.63 eq ftp

但是我想使用object-group并且您不能使用通配符,那么我如何使用子网掩码调整对象组中的上述掩码?

wildcard关于掩蔽,以下是正确的吗?

object-group network WWW-ACL
   192.168.100.0 255.255.255.128
object-group network SMTP-ACL
   192.168.100.128 255.255.255.192
object-group network FTP-ACL
   192.168.100.191 255.255.255.192

在 ACL 中定义它们

access-list 101 permit tcp any object-group WWW-ACL eq www
access-list 101 permit tcp any object-group SMTP-ACL eq www
access-list 101 permit tcp any object-group FTP-ACL eq www
1个回答

通配符掩码与常规掩码正好相反(将0位更改为1,反之亦然):

  • 通配符掩码0.0.0.127是常规掩码255.255.255.128
  • 通配符掩码0.0.0.63是常规掩码255.255.255.192

编辑:

我认为您想要的是对象组,例如:

object-group network WWW-ACL
   192.168.100.0 255.255.255.128
object-group network SMTP-ACL
   192.168.100.128 255.255.255.192
object-group network FTP-ACL
   192.168.100.192 255.255.255.192
其它你可能感兴趣的问题
上一篇使用 Monitor Mode + Wireshark 确认 DFS 问题 下一篇在千兆以太网上休眠的计算机会破坏多播性能