Wildcard

Masque - Wildcard Mask

Masque – Wildcard Mask

 

Présentation


Wildcard = Masque inverse.

Qui utilise les WildCard mask ?

– Le protocole OSPF.
– Le protocole EIGRP.
Les Access-list.

Pourquoi ?

– Vous le découvrirez au fil de la leçon 🙂

 

Masque inverse


Masque de 255.255.255.0 =  Wildcard Mask de 0.0.0.255.

Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suis :

 

Wildcard de base

Wildcard de base

Que vas faire le Wildcard ?

– 0 = Ce bit doit être identique au bit de l’adresse fournis.
1 = Ignore ce bit.

Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et vas se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !

 

Conversion


1er Octet 3eme Octet

/0 = 0.0.0.0 = 255.255.255.255
/1 = 128.0.0.0 = 127.255.255.255
/2 = 192.0.0.0 = 63.255.255.255
/3 = 224.0.0.0 = 31.255.255.255
/4 = 240.0.0.0 = 15.255.255.255
/5 = 248.0.0.0 = 7.255.255.255
/6 = 252.0.0.0 = 3.255.255.255
/7 = 254.0.0.0 = 1.255.255.255
/8 = 255.0.0.0 = 0.255.255.255

/17 = 255.255.128.0 = 0.0.127.255
/18 = 255.255.192.0 = 0.0.63.255
/19 = 255.255.224.0 = 0.0.31.255
/20 = 255.255.240.0 = 0.0.15.255
/21 = 255.255.248.0 = 0.0.7.255
/22 = 255.255.252.0 = 0.0.3.255
/23 = 255.255.254.0 = 0.0.1.255
/24 = 255.255.255.0 = 0.0.0.255

2eme Octet 4eme Octet

/9 = 255.128.0.0 = 0.127.255.255
/10 = 255.192.0.0 = 0.63.255.255
/11 = 255.224.0.0 = 0.31.255.255
/12 = 255.240.0.0 = 0.15.255.255
/13 = 255.248.0.0 = 0.7.255.255
/14 = 255.252.0.0 = 0.3.255.255
/15 = 255.254.0.0 = 0.1.255.255
/16 = 255.255.0.0 = 0.0.255.255

/25 = 255.255.255.128 = 0.0.0.127
/26 = 255.255.255.192 = 0.0.0.63
/27 = 255.255.255.224 = 0.0.0.31
/28 = 255.255.255.240 = 0.0.0.15
/29 = 255.255.255.248 = 0.0.0.7
/30 = 255.255.255.252 = 0.0.0.3
/31 = 255.255.255.254 = 0.0.0.1
/32 = 255.255.255.255 = 0.0.0.0

 

But du Wildcard mask


Mais pourquoi avoir inventé le Wildcard Mask ? On mettrait tout simplement le masque et le tour est jouée !!

Mise en évidence


Je doit mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? en jouant sur le wildcard mask !

Comment ?

Question a ce poser : Quel est la différence avec ses deux LAN :

– 1er octet = Le Bit numéro 2 est différent.
– 2eme octet = IDEM.
– 3eme octet = IDEM.
– 4eme octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard  64.0.0.255.

 

Wildcard - Avancée

Wildcard – Avancée

 

Wildcard - Zoom

Wildcard – Zoom

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :

– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MEMES FLUX !!!!!

Conclusion


– Configuration simplifié.
– Economie de travail CPU.

 

En espérant que cet article vous a été utile ! Hésitez pas à me la faire savoir !!

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

2
Poster un Commentaire

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
kayoumt
Invité
kayoumt

Félicitations !

Ma définition du Masque et du Wildcard Mask est plutôt simple (ou simpliste).

Dans une adresse IP :

– Le Masque permet d’extraire l’adresse Réseau.
– Le Wildcard Mask permet d’extraire le numéro host dans l’adresse IP.

Selon moi, les deux sont complémentaires ou peut-être même équivalents ?