CISCO · Les bases

Présentation des Wildcard

Le masque inversé utilisé par OSPF, EIGRP et les ACL : comprendre, convertir et exploiter les wildcard mask.

Wildcard = Masque inversé.

Qui utilise les Wildcard mask ?

  • Le protocole OSPF.
  • Le protocole EIGRP.
  • Les Access-list.

Pourquoi ?

  • Vous le découvrirez au fil de la leçon 🙂

Présentation des Wildcard Mask

Masque de 255.255.255.0 = Wildcard Mask de 0.0.0.255.

Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :

Wildcard de base
Wildcard de base

Que va faire le Wildcard ?

  • 0 = ce bit doit être identique au bit de l’adresse fournie.
  • 1 = ignore ce bit.

Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et va se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !

Conversion des wildcard mask

Pour chaque préfixe CIDR, le wildcard mask est le complément du masque réseau (Wildcard = 255 – Masque) :

1er octet (/0 à /8)

/0 = 0.0.0.0 = 255.255.255.255 /1 = 128.0.0.0 = 127.255.255.255 /2 = 192.0.0.0 = 63.255.255.255 /3 = 224.0.0.0 = 31.255.255.255 /4 = 240.0.0.0 = 15.255.255.255 /5 = 248.0.0.0 = 7.255.255.255 /6 = 252.0.0.0 = 3.255.255.255 /7 = 254.0.0.0 = 1.255.255.255 /8 = 255.0.0.0 = 0.255.255.255

2e octet (/9 à /16)

/9 = 255.128.0.0 = 0.127.255.255 /10 = 255.192.0.0 = 0.63.255.255 /11 = 255.224.0.0 = 0.31.255.255 /12 = 255.240.0.0 = 0.15.255.255 /13 = 255.248.0.0 = 0.7.255.255 /14 = 255.252.0.0 = 0.3.255.255 /15 = 255.254.0.0 = 0.1.255.255 /16 = 255.255.0.0 = 0.0.255.255

3e octet (/17 à /24)

/17 = 255.255.128.0 = 0.0.127.255 /18 = 255.255.192.0 = 0.0.63.255 /19 = 255.255.224.0 = 0.0.31.255 /20 = 255.255.240.0 = 0.0.15.255 /21 = 255.255.248.0 = 0.0.7.255 /22 = 255.255.252.0 = 0.0.3.255 /23 = 255.255.254.0 = 0.0.1.255 /24 = 255.255.255.0 = 0.0.0.255

4e octet (/25 à /32)

/25 = 255.255.255.128 = 0.0.0.127 /26 = 255.255.255.192 = 0.0.0.63 /27 = 255.255.255.224 = 0.0.0.31 /28 = 255.255.255.240 = 0.0.0.15 /29 = 255.255.255.248 = 0.0.0.7 /30 = 255.255.255.252 = 0.0.0.3 /31 = 255.255.255.254 = 0.0.0.1 /32 = 255.255.255.255 = 0.0.0.0

Objectif des Wildcard mask

Je dois mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01 R1(config-ext-nacl)# remark ************ NETWORK 1 ********** R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 fingerinthenet.com R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ************ NETWORK 2 ********** R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 fingerinthenet.com R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ***************** DENY ************** R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !

Comment ?

Question à se poser : quelle est la différence entre ces deux LAN :

  • 1er octet = le bit numéro 2 est différent.
  • 2e octet = IDEM.
  • 3e octet = IDEM.
  • 4e octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard 64.0.0.255.

Wildcard - Avancée
Wildcard – Avancée
Wildcard - Zoom
Wildcard – Zoom

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivants :

– de 128.128.0.0 à 128.128.0.255.
– de 192.128.0.0 à 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02 R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 ********** R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 fingerinthenet.com R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com R1(config-ext-nacl)# remark ***************** DENY ************** R1(config-ext-nacl)# deny ip any any log

Les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!

Conclusion

  • Configuration simplifiée.
  • Économie de travail CPU.
Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →