[ sheff @ 19.09.2012. 09:24 ] @
access-list 100 permit ip 10.1.1.0 0.0.0.0 255.255.0.0 0.0.0.0

Ova lista dozvoljava IP saobracaj sa hosta 10.1.1.0 na mrezu 255.255.0.0/0 - jel ovo ispravno shvaceno?
Ono sto me buni je ova wildcard maska 0.0.0.0 - cemu ona sluzi odnosno sta se zeli postici dozvolom/zabranom na mrezu 255.255.0.0/0? Prvi put vidim ovako nesto i nemam nikakve predstave sta se s ovim zeli?

Pod pitanje: objasnjenje slucaja gdje imamo u odredistu IP adresu sa 32 bitnom maskom - kako se to tumaci? (znam da se maska od 0 bitova tumaci kao host)
[ djricky @ 19.09.2012. 09:36 ] @

ova lista dozvoljava saobracaj sa hosta 10.1.1.0/32 na mrezu 255.255.0.0/32 (inverzna wildcard maska), a zasto, ne znam
[ sheff @ 19.09.2012. 09:41 ] @
Ok ali ono sto me buni je teorija - koje je znacenje mreza:

1. 255.255.0.0/32
2. 255.255.0.0/0
3. 255.255.255.255/0
4. 255.255.255.255/32
5. 0.0.0.0/0
6. 0.0.0.0/32
7. npr. 192.168.34.5/0
8. npr. 192.168.34.5/32
9. 0.0.0.0/24
10. 255.255.255.255/24

[Ovu poruku je menjao sheff dana 19.09.2012. u 11:08 GMT+1]
[ pajaja @ 19.09.2012. 14:09 ] @
Kao sto ti je djricky rekao, to je wildcard mask iliti inverzni bitovi subnet maske.
Citat:
Pod pitanje: objasnjenje slucaja gdje imamo u odredistu IP adresu sa 32 bitnom maskom - kako se to tumaci? (znam da se maska od 0 bitova tumaci kao host)

Maska ima uvek 32 bita, menjaju se samo njene vrednosti. Ako pricas o obicnoj subnet masci 255.255.255.255 oznacava mrezu koju cini samo jedan host.
Pogledaj ovo i cidr za objasnjenje prefiksa.
[ B3R1 @ 21.09.2012. 21:46 ] @
Citat:
djricky: ova lista dozvoljava saobracaj sa hosta 10.1.1.0/32 na mrezu 255.255.0.0/32 (inverzna wildcard maska), a zasto, ne znam ;)

Zavisi od konteksta u kome je upotrebljena. U nacelu je tako kao sto si rekao i na prvi pogled nema bas preterano puno smisla, pogotovo ako se takva lista primeni kao npr. paketski filter na interfejsu (access-class in/out). Medjutim, ako se ta lista koristi kao BGP distribute-list:

router bgp 65534

 neighbor 10.11.12.13 distribute-list 101 in

Ona ima malcice drugacije znacenje, koje mozes da nadjes ovde.

Rec je o istorijskom krpezu koji je Cisco bio prinudjen da ugradi pre nekih 20-tak godina, kada se pojavila prva verzija IOS-a koja je podrzavala BGP (IOS 10.0). Tada im je NSFNET narucio da ugrade i opciju filtriranja ruta. Posto je stvar bila hitna iskoristili su postojeci "extended acl" mehanizam za to, samo su malcice promenili semantiku. Ako se prosirena ACL upotrebi u kontekstu BGP neighbor distribute-list naredbe (i samo tada !!!) ta ACL se tumaci nesto drugacije:

- Prve dve IP adrese u listi oznacavaju opseg adresa
- Druge dve adrese opseg subnet maski, odnosno duzina prefiksa.

Tvoj konkretan primer nema preterano puno smisla ni u tom kontekstu, doduse ... imao bi smisla kada bi lista bila:
access-list 101 permit 10.1.0.0 0.0.0.0 255.255.0.0 0.0.0.0
sto moze da se koristi za BGP filtriranje u kome se dopusta iskljucivo ruta 10.1.0.0/16 (i nijedna druga).


Nasuprot tome, nesto drugacija lista:
access-list 101 permit 10.1.0.0 0.0.255.255 255.255.0.0 0.0.255.255
dozvoljava sve rute iz opsega 10.1.0.0/16. Ta lista bi dopustila i specificnije rute 10.1.2.0/24, 10.1.3.128/25 itd.

Srecom, za ovaj krpez je jos pre 10-15 godina (u IOS 12.0(3)T) ponudjena dobra alternativa - prefiks liste:


router bgp 65534

 neighbor 10.11.12.13 prefix-list allowed-nets in

pa gornje dve access liste mozes da zamenis mnogo preglednijom formom:

! - Permit 10.1.0.0/16 only

ip prefix-list allowed-nets permit 10.1.0.0/16



! - Permit 10.1.0.0/16 incl. more specifics

ip prefix-list allowed-nets permit 10.1.0.0/16 le 32

[ markom @ 01.10.2012. 05:38 ] @
Krpež ili ne i dalje je dosta efikasan za filtriranje pošto postoje ezoterične stvari koje prefix-liste ne mogu da urade, a sa ovim metodom ispada vrlo jednostavno.

Zanimljivo je da je ova specijalna funkcija extended access listi pristupačna u samo dva konteksta: filtriranje BGP ruta i filtriranje ruta između L2 i L1 IS-IS nivoa.