Created by potrace 1.10, written by Peter Selinger 2001-2011

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Login
Logout
Logo FingerInTheNet en blanc

Présentation des Wildcard

Article de blog | Finger In The Net

Table des matières

Présentation des Wildcard

  • Nombre de lecteurs : 3945
  • Rédigé par : Noël NICOLAS

Table des matières

Wildcard = Masque inverse.

Qui utilise les WildCard mask ?

  • Le protocole OSPF.
  • Le protocole EIGRP.
  • Les Access-list.

Pourquoi ?

  • Vous le découvrirez au fil de la leçon 🙂
Chapitre 1

Présentation des WildCard Mask

Masque de 255.255.255.0 =  Wildcard Mask de 0.0.0.255.

Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :

Wildcard de base
Wildcard de base

Que va faire le Wildcard ?

  • 0 = Ce bit doit être identique au bit de l’adresse fourni.
  • 1 = Ignore ce bit.

Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et vas se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !

Chapitre 2

Conversion des wildcard mask

1er Octet 3eme Octet

/0 = 0.0.0.0 = 255.255.255.255 /1 = 128.0.0.0 = 127.255.255.255 /2 = 192.0.0.0 = 63.255.255.255 /3 = 224.0.0.0 = 31.255.255.255 /4 = 240.0.0.0 = 15.255.255.255 /5 = 248.0.0.0 = 7.255.255.255 /6 = 252.0.0.0 = 3.255.255.255 /7 = 254.0.0.0 = 1.255.255.255 /8 = 255.0.0.0 = 0.255.255.255

/17 = 255.255.128.0 = 0.0.127.255 /18 = 255.255.192.0 = 0.0.63.255 /19 = 255.255.224.0 = 0.0.31.255 /20 = 255.255.240.0 = 0.0.15.255 /21 = 255.255.248.0 = 0.0.7.255 /22 = 255.255.252.0 = 0.0.3.255 /23 = 255.255.254.0 = 0.0.1.255 /24 = 255.255.255.0 = 0.0.0.255
2eme Octet 4eme Octet

/9 = 255.128.0.0 = 0.127.255.255 /10 = 255.192.0.0 = 0.63.255.255 /11 = 255.224.0.0 = 0.31.255.255 /12 = 255.240.0.0 = 0.15.255.255 /13 = 255.248.0.0 = 0.7.255.255 /14 = 255.252.0.0 = 0.3.255.255 /15 = 255.254.0.0 = 0.1.255.255 /16 = 255.255.0.0 = 0.0.255.255

/25 = 255.255.255.128 = 0.0.0.127 /26 = 255.255.255.192 = 0.0.0.63 /27 = 255.255.255.224 = 0.0.0.31 /28 = 255.255.255.240 = 0.0.0.15 /29 = 255.255.255.248 = 0.0.0.7 /30 = 255.255.255.252 = 0.0.0.3 /31 = 255.255.255.254 = 0.0.0.1 /32 = 255.255.255.255 = 0.0.0.0
Chapitre 3

Objectif des Wildcard mask

Je dois mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !

Comment ?

Question à se poser : Quelle est la différence avec ses deux LAN :

  • 1er octet = Le Bit numéro 2 est différent.
  • 2e octet = IDEM.
  • 3e octet = IDEM.
  • 4e octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard  64.0.0.255.

Wildcard - Avancée
Wildcard – Avancée
Wildcard - Zoom
Wildcard – Zoom

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :

– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!

Chapitre 4

Conclusion

  • Configuration simplifiée.
  • Économie de travail CPU.

En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!

FingerInTheNet.com

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.