Discussion :

[lucciana]

Bonsoir,

J'aimerai comprendre comment cette ACL permet-elle de de laisser passer seulement le trafic des machines impaires du réseau 192.168.20.0 ?

Router(config)#access-list 15 permit 192.168.20.1 0.0.0.254

D'apres ce que je sais les 3 bits a 0 du masque générique signifient qu'on dit vérifier les adresses ip commençant par 192.168.20, mais ensuite je n'ai pas compris pourquoi le fait de mettre de 1 à 254 va laisser passer seulement le trafic des machines impaires.

svp aidez moi ! merci d'avance

[elssar]

Bonjour,

Le masque inversé détermine si une règle de filtrage s'applique ou non au paquet. Par exemple, tu réalises une ACL comme celle-ci :
access-list 1 permit 172.16.0.1 0.0.0.254 (quasiment la même chose que ton exemple)
Si tu traduits l'adresse ip en binaire tu auras : 10101100.00010000.00000000.00000001
pour le masque on auras : 00000000.00000000.00000000.11111110

Quand le router va recevoir une adresse IP il va tester cette adresse avec l'acl que tu as rentré. En gros à chaque 0 binaire le bit reçu doit être égal au bit équivalent de l'ip de l'ACL. Et pour chaque 1 aucune correspondance n'est demandé avec l'adresse de la liste.

Si tu reçois l'ip 172.16.0.2 traduit en binaire ça donne :
10101100.000010000.00000000.00000010
Quand j'applique le masque ci-dessus, le router va faire le raisonnement suivant :

1)Je prends le 1er bit de 172.16.0.2 -> 10101100.000010000.00000000.00000010 donc le 0

2)Je regarde mon masque et à ce bit là j'ai 0 00000000.00000000.00000000.11111110

3)0 veut dire que je dois vérifier que le 0 de 1) corresponde au même bit de l'IP de l'ACL.

4)Je prends donc L'IP de l'ACL et je vérifie 10101100.00010000.00000000.00000001

5)J'ai un 0 alors que je dois avoir un 1 hop c'est pas bon je bloque le paquet.


Maintenant je reçois une adresse impaire par exemple 172.16.0.3
En binaire :
10101100.000010000.00000000.00000011

Je réapplique le même raisonnement :

1)Je prends le 1er bit de 172.16.0.3 -> 10101100.000010000.00000000.00000011 donc le 1

2)Je regarde mon masque et à ce bit là j'ai 0 00000000.00000000.00000000.11111110

3)0 veut dire que je dois vérifier que ce 1 corresponde au même bit de l'IP de l'ACL.

4)Je prends donc L'IP de l'ACL et je vérifie 10101100.00010000.00000000.00000001

5)J'ai un 1 et sur l'IP de l'ACL aussi --> Ok pas de problème, je continue :

6)Je prends le 2eme bit et je fais de même

7) Je regarde mon masque et à ce bit la j'ai un 1, donc je m'en fou je passe à la suite

8)Je prends le 3eme bit...
etc..
Jusqu'à ce que l'intégralité des bits soit testé. L'adresse étant ici correcte après la vérification il laisse le paquet entré.

Et tu remarques que cette ultime bit test l'intégralité des pairs et impairs :

1 est impair =00000001
3 est impair =00000011
5 est impair =00000101
...

Du côté des pairs :
2 est pair =00000010
4 est pair =00000100

Donc pour conclure tu es sur que chaque impaire aura ce dernier bit à 1 et chaque pair à 0.

J'espère que tu as compris, c'est pas forcément facile à vulgariser.

[lucciana]

bonsoir,

merci énormément pour tes explications j'ai enfin compris mais j'avoue que ce n'est pas évident !!

comment savoir quel masque inversé doit on choisir ?

l'@ ip 172.16.0.1 son masque inversé à la base c'est 0.0.255.255. il est ou le rapport avec le 0.0.0.254 ??

en gros je veux comprendre comment faire pour connaitre le masque qu'il faut ?


Merci beaucoup.