Présentation des Wildcard
Le masque inversé utilisé par OSPF, EIGRP et les ACL : comprendre, convertir et exploiter les wildcard mask.
Wildcard = Masque inversé.
Qui utilise les Wildcard mask ?
Pourquoi ?
- Vous le découvrirez au fil de la leçon 🙂
Présentation des Wildcard Mask
Masque de 255.255.255.0 = Wildcard Mask de 0.0.0.255.
Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :

Que va faire le Wildcard ?
- 0 = ce bit doit être identique au bit de l’adresse fournie.
- 1 = ignore ce bit.
Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et va se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !
Conversion des wildcard mask
Pour chaque préfixe CIDR, le wildcard mask est le complément du masque réseau (Wildcard = 255 – Masque) :
1er octet (/0 à /8)
/0 = 0.0.0.0 = 255.255.255.255
/1 = 128.0.0.0 = 127.255.255.255
/2 = 192.0.0.0 = 63.255.255.255
/3 = 224.0.0.0 = 31.255.255.255
/4 = 240.0.0.0 = 15.255.255.255
/5 = 248.0.0.0 = 7.255.255.255
/6 = 252.0.0.0 = 3.255.255.255
/7 = 254.0.0.0 = 1.255.255.255
/8 = 255.0.0.0 = 0.255.255.2552e octet (/9 à /16)
/9 = 255.128.0.0 = 0.127.255.255
/10 = 255.192.0.0 = 0.63.255.255
/11 = 255.224.0.0 = 0.31.255.255
/12 = 255.240.0.0 = 0.15.255.255
/13 = 255.248.0.0 = 0.7.255.255
/14 = 255.252.0.0 = 0.3.255.255
/15 = 255.254.0.0 = 0.1.255.255
/16 = 255.255.0.0 = 0.0.255.2553e octet (/17 à /24)
/17 = 255.255.128.0 = 0.0.127.255
/18 = 255.255.192.0 = 0.0.63.255
/19 = 255.255.224.0 = 0.0.31.255
/20 = 255.255.240.0 = 0.0.15.255
/21 = 255.255.248.0 = 0.0.7.255
/22 = 255.255.252.0 = 0.0.3.255
/23 = 255.255.254.0 = 0.0.1.255
/24 = 255.255.255.0 = 0.0.0.2554e octet (/25 à /32)
/25 = 255.255.255.128 = 0.0.0.127
/26 = 255.255.255.192 = 0.0.0.63
/27 = 255.255.255.224 = 0.0.0.31
/28 = 255.255.255.240 = 0.0.0.15
/29 = 255.255.255.248 = 0.0.0.7
/30 = 255.255.255.252 = 0.0.0.3
/31 = 255.255.255.254 = 0.0.0.1
/32 = 255.255.255.255 = 0.0.0.0Objectif des Wildcard mask
Je dois mettre en place une ACL pour protéger deux LAN :
R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any logComment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !
Comment ?
Question à se poser : quelle est la différence entre ces deux LAN :
- 1er octet = le bit numéro 2 est différent.
- 2e octet = IDEM.
- 3e octet = IDEM.
- 4e octet = /24 donc c’est notre partie client.
Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.
Nous en concluons donc le Wildcard 64.0.0.255.


La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivants :
– de 128.128.0.0 à 128.128.0.255.
– de 192.128.0.0 à 192.128.0.255.
Nous pouvons donc en conclure l’ACL suivante :
R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any logLes access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!
Conclusion
- Configuration simplifiée.
- Économie de travail CPU.
