Présentation
Wildcard = Masque inverse.
Qui utilise les WildCard mask ?
– Le protocole OSPF.
– Le protocole EIGRP.
– Les Access-list.
Pourquoi ?
– Vous le découvrirez au fil de la leçon 🙂
Masque inverse
Masque de 255.255.255.0 = Wildcard Mask de 0.0.0.255.
Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :
Que va faire le Wildcard ?
– 0 = Ce bit doit être identique au bit de l’adresse fourni.
– 1 = Ignore ce bit.
Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et vas se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !
Conversion
| 1er Octet | 3eme Octet |
|
/0 = 0.0.0.0 = 255.255.255.255 |
/17 = 255.255.128.0 = 0.0.127.255 |
| 2eme Octet | 4eme Octet |
|
/9 = 255.128.0.0 = 0.127.255.255 |
/25 = 255.255.255.128 = 0.0.0.127 |
But du Wildcard mask
Mais pourquoi avoir inventé le Wildcard Mask ? On mettrait tout simplement le masque et le tour est joué !!
Mise en évidence
Je dois mettre en place une ACL pour protéger deux LAN :
R1(config)# ip access-list extended ACL_Fingerinthenet_01 R1(config-ext-nacl)# remark ************ NETWORK 1 ********** R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.fingerinthenet.com R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ************ NETWORK 2 ********** R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.fingerinthenet.com R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ***************** DENY ************** R1(config-ext-nacl)# deny ip any any log
Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !
Comment ?
Question à se poser : Quelle est la différence avec ses deux LAN :
– 1er octet = Le Bit numéro 2 est différent.
– 2e octet = IDEM.
– 3e octet = IDEM.
– 4e octet = /24 donc c’est notre partie client.
Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.
Nous en concluons donc le Wildcard 64.0.0.255.
La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :
– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.
Nous pouvons donc en conclure l’ACL suivante :
R1(config)# ip access-list extended ACL_Fingerinthenet_02 R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 ********** R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.fingerinthenet.com R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ***************** DENY ************** R1(config-ext-nacl)# deny ip any any log
les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!
Conclusion
– Configuration simplifiée.
– Économie de travail CPU.
En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
FingerInTheNet.com
