Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Frage zu ACLs bzw. Wildcards für Cisco Router

Mitglied: vopper

Bei dem Anlegen der ACLs fehlen mir Informationen zu den Wildcards

Hallo,

momentan stehe ich vor einem Problem mit Wildcards. Es wäre super, wenn mir hier irgendjemand helfen könnte. Zu dem Problem:

Bei einem Cisco Router (2600er) sollen auf dem Serial 0/0 (in) ACLs angelegt werden. Der Router ist für zwei (öffentliche) Class-C-Subnetze konfiguriert. Das eine Subnetz habe ich schon fertig konfiguriert und mit entsprechenden (extended) ACLs versehen.

Für das zweite Subnetz soll es keine Einschränkungen durch die ACLs geben. Daher muss ich den kompletten IP-Verkehr ungefiltert durchlassen können. Für ein Class-C-Netz würde der ACL-Zusatz wie folgt aussehen:

access-list 115 permit ip any 192.168.1.0 0.0.0.255

Da ich allerdings ein Class-C-Subnetz bekommen habe (z.B. 192.168.1.160/27) muss ich die "Wildcard mask" dementsprechend ja ändern, oder sehe ich das falsch? Ich möchte ja nur erlauben, dass Anfragen an Server mit den IP-Adressen 192.168.1.161 bis 192.168.1.190 von außen erlaubt werden. Muss die ACL dann wie folgt verändert werden:

access-list 115 permit ip any 192.168.1.160 0.0.0.191

oder ist es eher

access-list 115 permit ip any 192.168.1.160 0.0.0.31

??? Oder bin ich jetzt total daneben und habe da einen fürchterlichen Denkfehler drin?
Über jeden Tipp bin ich dankbar. Vielen Dank!

Gruß,
Bastian

Content-Key: 6738

Url: https://administrator.de/contentid/6738

Ausgedruckt am: 19.06.2021 um 21:06 Uhr

2 Kommentare
Mitglied: forsti
grüss dich,

der zweitere vorschlag ist es, also

access-list 115 permit ip any 192.168.1.160 0.0.0.31

ein "trick" für mich um mit den wildcardmasks zurechtzukommen ist einfach die subnet mask zu invertieren....

wenn du also ein netz 192.168.1.160/27 hast lautet die subnet mask
255.255.255.224
- 255.255.255.255
=> 0. 0. 0.31


hth,
forsti
Mitglied: vopper
Hallo Forsti,
Hallo alle anderen,

vielen Dank für deine Antwort. Ich habe das "Problem" letzte Woche auch noch lösen können, bin bis dato aber leider nicht dazu gekommen dies hier zu posten. Vielen Dank auch für deinen Tipp. Ich habe mir dies letzte Woche wie folgt hergeleitet:

Benötige IP-Adressen: 192.168.1.160 - 192.168.1.191
Betrachten müssen wir ja nur das letzte Oktett, also
192.168.1.160, letztes Oktett entspricht: 1 0 1 0 0 0 0 0
192.168.1.191, letztes Oktett entspricht: 1 0 1 1 1 1 1 1

Da in diesem Fall die Wildcard-Maske nur eine Übereinstimmung bei den ersten drei Bits (des letzten Oktetts) kontrollieren soll, werde die ersten drei Bits auf "0" gesetzt. Die restlichen (fünf) Bits müssen nicht übereinstimmen und sind daher auf "1" zu setzen. Somit ergibt sich: 0 0 0 1 1 1 1 1
Dies ergibt: 31 und somit die Wildcard-Maske: 0.0.0.31

So, wenn ich hier jetzt alle durch meine Ausführungen verwirrt habe, nehmt es mir nicht übel... ;-) face-wink Diesen Weg bin ich halt gegangen und ganz falsch scheint er ja nicht zu sein! :-) face-smile

Die Lösung von Forsti geht natürlich ein bissl schneller.

Schönes Wochenende noch,

VOPper alias Bastian
Heiß diskutierte Beiträge
Windows 10
Austritt Mitarbeiter - Windows- u. M365 Konto
gelöst NixVerstehenVor 1 TagFrageWindows 1011 Kommentare

Moin zusammen, ich habe hier im Kleinunternehmen tatsächlich zum ersten Mal die Situation, das eine Mitarbeiterin aus dem kaufmännischen Bereich ausscheiden wird. Die Kollegin ist ...

Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 13 StundenFrageNetzwerke12 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Microsoft
Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?
stephan.csVor 1 TagFrageMicrosoft6 Kommentare

Guten Morgen zusammen, leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage Wir haben folgende Situation: - Windows 10 Clients ...

Windows Server
Always-on-VPN mit einer Netzwerkkarte
bluelightVor 23 StundenFrageWindows Server11 Kommentare

Hallo zusammen, ich bin tatsächlich einmal auf eure Hilfe angewiesen! Ich habe für unser Unternehmen ein Domänennetzwerk auf einem Rootserver von Netcup erstellt und weitestgehend ...

Installation
Setup mit automatischen Klicks
akadawaVor 1 TagFrageInstallation9 Kommentare

Moin, ich habe eine Installation welche ich gerne über das Softwarecenter vom SCCM installieren lassen möchte. Leider lassen die Parameter der Setup.exe es nicht zu, ...

Windows Netzwerk
PRTG Probe erkennt Lancom Router nicht mehr
gelöst blackarchVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo zusammen, die o.g. Probe ist auf dem Server eines Standortes installiert und lief bis dato problemlos. Gestern fiel nun der Ping für den Router ...

Windows 10
PDF Datei wird falsch angezeigt
ben1300Vor 1 TagFrageWindows 107 Kommentare

Hallo zusammen, habe hier eine PDF Datei, welche auf einem Macbook (Big Sur) und einem Windows 10 Prof. x64 Client problemlos dargestellt wird. Nun kommt ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 13 StundenFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...