Por que as Listas de Controle de Acesso no encaminhamento de IP usam uma Máscara Inversa?

2

Enquanto eu estava passando pelo conceito de controle de acesso, descobri o fato de que as ACLs usam máscaras inversas. Mas, enquanto passa pela explicação dada em site do cisco sobre as listas Contrl, Notei que em todas as suas explicações, eles convertem a máscara inversa na máscara original e depois fazem a necessária.

Se for esse o caso, por que precisamos de máscaras inversas? Pelo que entendi, as máscaras inversas só se mostrariam úteis quando fossem orbitadas com o endereço IP. Mas duvido que este seja o caso. Então, qual é a verdadeira razão para usar uma máscara inversa?

    
por Hashken 01.06.2012 / 13:32

1 resposta

3

As máscaras de bits inversos permitem mais flexibilidade usando apenas uma máscara de rede. A grande maioria das aplicações simplesmente inverte uma máscara de rede em uma máscara inversa, assim:

! Deny tcp/25 traffic from all sources going to addresses 
! in the seqence matching [172.16.0.4, 172.16.1.4, 172.16.2.4, etc...]
ip access-list 101 deny tcp any 172.16.0.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.1.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.2.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.3.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.4.4 0.0.0.0 eq 25
ip access-list 101 deny tcp any 172.16.5.4 0.0.0.0 eq 25
! keep repeating the pattern all the way to 172.16.255.4

Essencialmente, o acl 101 bloqueia pacotes baseados em / 32 netmasks. Uma forma mais compacta de expressar o mesmo é

! 255 in the third octet of the wildcard mask matches from 0-255
ip access-list 102 deny any 172.16.0.4 0.0.255.0 eq 25

O ACL 102 é simplesmente uma maneira mais compacta de expressar o primeiro ACL.

Nos dias em que o Cisco IOS trocava todo o tráfego com base apenas na energia da CPU e não tinha otimizações internas de padrão acl, o ACL 101 seria muito mais lento que o ACL 102 devido ao número de entradas no ACL 101. Agora, O Cisco IOS inclui algumas otimizações significativas no mecanismo de correspondência de padrões e plataformas de ponta até usam ASICs para filtragem ... por isso, expressar uma ACL como 102 faz mais por conveniência.

Tenha em mente que suas configurações do IOS são tão boas quanto sua equipe está às 3h da manhã quando algo está quebrado; por isso, se escrever ACLs da forma mais inteligente possível, será possível que você precise de muito mais tempo para depurar as coisas durante uma crise de manhã cedo.

    
por 01.06.2012 / 14:54