Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Présentation des Wildcard

Article de blog | Finger In The Net

Wildcard = Masque inverse.

Qui utilise les WildCard mask ?

  • Le protocole OSPF.
  • Le protocole EIGRP.
  • Les Access-list.

Pourquoi ?

  • Vous le découvrirez au fil de la leçon 🙂
Chapitre 1

Présentation des WildCard Mask

Masque de 255.255.255.0 =  Wildcard Mask de 0.0.0.255.

Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :

Wildcard de base
Wildcard de base

Que va faire le Wildcard ?

  • 0 = Ce bit doit être identique au bit de l’adresse fourni.
  • 1 = Ignore ce bit.

Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et vas se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !

Chapitre 2

Conversion des wildcard mask

1er Octet 3eme Octet

/0 = 0.0.0.0 = 255.255.255.255 /1 = 128.0.0.0 = 127.255.255.255 /2 = 192.0.0.0 = 63.255.255.255 /3 = 224.0.0.0 = 31.255.255.255 /4 = 240.0.0.0 = 15.255.255.255 /5 = 248.0.0.0 = 7.255.255.255 /6 = 252.0.0.0 = 3.255.255.255 /7 = 254.0.0.0 = 1.255.255.255 /8 = 255.0.0.0 = 0.255.255.255

/17 = 255.255.128.0 = 0.0.127.255 /18 = 255.255.192.0 = 0.0.63.255 /19 = 255.255.224.0 = 0.0.31.255 /20 = 255.255.240.0 = 0.0.15.255 /21 = 255.255.248.0 = 0.0.7.255 /22 = 255.255.252.0 = 0.0.3.255 /23 = 255.255.254.0 = 0.0.1.255 /24 = 255.255.255.0 = 0.0.0.255

2eme Octet 4eme Octet

/9 = 255.128.0.0 = 0.127.255.255 /10 = 255.192.0.0 = 0.63.255.255 /11 = 255.224.0.0 = 0.31.255.255 /12 = 255.240.0.0 = 0.15.255.255 /13 = 255.248.0.0 = 0.7.255.255 /14 = 255.252.0.0 = 0.3.255.255 /15 = 255.254.0.0 = 0.1.255.255 /16 = 255.255.0.0 = 0.0.255.255

/25 = 255.255.255.128 = 0.0.0.127 /26 = 255.255.255.192 = 0.0.0.63 /27 = 255.255.255.224 = 0.0.0.31 /28 = 255.255.255.240 = 0.0.0.15 /29 = 255.255.255.248 = 0.0.0.7 /30 = 255.255.255.252 = 0.0.0.3 /31 = 255.255.255.254 = 0.0.0.1 /32 = 255.255.255.255 = 0.0.0.0

Chapitre 3

Objectif des Wildcard mask

Je dois mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !

Comment ?

Question à se poser : Quelle est la différence avec ses deux LAN :

  • 1er octet = Le Bit numéro 2 est différent.
  • 2e octet = IDEM.
  • 3e octet = IDEM.
  • 4e octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard  64.0.0.255.

Wildcard - Avancée
Wildcard – Avancée
Wildcard - Zoom
Wildcard – Zoom

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :

– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!

Chapitre 4

Conclusion

  • Configuration simplifiée.
  • Économie de travail CPU.

En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!

FingerInTheNet.com

Noël NICOLAS

Co-auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

CURSUS DE FORMATION

Administrateur Réseau