As máscaras de bits inversos permitem mais flexibilidade usando apenas uma máscara de rede. A grande maioria das aplicações simplesmente inverte uma máscara de rede em uma máscara inversa, assim:
! Deny tcp/25 traffic from all sources going to addresses
! in the seqence matching [172.16.0.4, 172.16.1.4, 172.16.2.4, etc...]
ip access-list 101 deny tcp any 172.16.0.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.1.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.2.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.3.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.4.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.5.4 0.0.0.0 eq 25
! keep repeating the pattern all the way to 172.16.255.4
Essencialmente, o acl 101 bloqueia pacotes baseados em / 32 netmasks. Uma forma mais compacta de expressar o mesmo é
! 255 in the third octet of the wildcard mask matches from 0-255
ip access-list 102 deny any 172.16.0.4 0.0.255.0 eq 25
O ACL 102 é simplesmente uma maneira mais compacta de expressar o primeiro ACL.
Nos dias em que o Cisco IOS trocava todo o tráfego com base apenas na energia da CPU e não tinha otimizações internas de padrão acl, o ACL 101 seria muito mais lento que o ACL 102 devido ao número de entradas no ACL 101. Agora, O Cisco IOS inclui algumas otimizações significativas no mecanismo de correspondência de padrões e plataformas de ponta até usam ASICs para filtragem ... por isso, expressar uma ACL como 102 faz mais por conveniência.
Tenha em mente que suas configurações do IOS são tão boas quanto sua equipe está às 3h da manhã quando algo está quebrado; por isso, se escrever ACLs da forma mais inteligente possível, será possível que você precise de muito mais tempo para depurar as coisas durante uma crise de manhã cedo.