Wildcard mask – шаблонная маска, она же обратная маска, она же инверсная. Чаще всего используется при создании списков доступа. Шаблонная маска предназначена выполнять роль указателя, она указывает на IP адреса отдельно взятой подсети, которые необходимо обработать согласно правилу списка доступа. Самая распространенная шаблонная маска — это маска 0.0.0.255. Так, например, если у нас есть сеть 192.168.1.0 255.255.255.0 и нам необходимо создать список доступа, который будет запрещать весь входящий траффик из этой сети, шаблонная маска 0.0.0.255 подойдет как раз кстати. Но это всего лишь вершина айсберга. В сущности шаблонная маска представляет собой более сложный и очень мощный инструмент для выборки значений. Как применять шаблонные маски, мы разберемся далее.
Важно помнить, что шаблонная маска это не обратная проекция обычной маски подсети в чем многие заблуждаются.
Возьмем, к примеру, шаблонную маску 0.0.240.255 и сеть 172.16.10.0/24. Чтобы понять как она работает, необходимо представить шаблонную маску в двоичном виде, также как и перевести в двоичную систему саму подсеть.
Двоичный код шаблонной маски 0.0.240.255 представлен ниже:
00000000.00000000.11110000.11111111 0 . 0 . 240 . 255
Двоичный код сети 172.16.10.0 будет выглядеть так:
10101100.00010000.00001010.00000000 172 . 16 . 10 . 0
Сопоставим шаблонную маску (WM) и сеть (IP):
00000000.00000000.11110000.11111111 - WM 10101100.00010000.00001010.00000000 - IP
Значения IP адреса, которые находятся под значением 0 шаблонной маски находятся вне ее диапазона, поэтому закрасим их серым цветом (шалбонной маской они учитываться не будут):
00000000.00000000.11110000.11111111 - WM 10101100.00010000.00001010.00000000 - IP
Все значения IP адреса, находящиеся под значением 1 шаблонной маски находятся в ее диапазоне и будут учитываться. Обозначим их зеленым цветом:
00000000.00000000.11110000.11111111 - WM 10101100.00010000.00001010.00000000 - IP
Мы видим, что все значения четвертого октета IP сети находятся в диапазоне, который охватывает шаблонная маска. Если быть более точным, то в позиции четвертого октета IP сети может стоять любое число от 0 до 255, а это, как вы понимаете, представляет собой количество различных IP адресов, которые могут быть выданы сетевым устройствам.
Выясним теперь, какие же значения третьего октета будут находиться в диапазоне нашей шаблонной маски. Для этого начнем изменять значения, стоящие под значением 1 шаблонной маски в третьем октете. Обозначим изменения красным цветом:
00000000.00000000.11110000.11111111 - WM 10101100.00010000.00011010.00000000 - IP
Переведем получившийся IP адрес из двоичной в десятичную систему и получим следующее значение: 172.16.26.0. Заметим, что на месте четвертого октета в данный момент стоит 0, но как мы помним, в данной позиции может стоять любое число от 0 до 255. Отсюда мы можем сделать вывод, что у нас получилась подсеть 172.16.26.0 255.255.255.0, которую охватывает шаблонная маска 0.0.240.255.
Далее изменим еще одно значение:
00000000.00000000.11110000.11111111 - WM 10101100.00010000.00101010.00000000 - IP
Получим сеть 172.16.42.0/24.
Если будем накручивать числа дальше, то получим следующий двоичный код:
00000000.00000000.11110000.11111111- WM 10101100.00010000.00111010.00000000 - IP
Переведем обратно в десятичную систему и получим сеть 172.16.58.0/24.
Таким образом можно продолжать пока не переберем все возможные сети с шаблонной маской 0.0.240.255.
Возможно у вас возник вопрос, для чего мы использовали шаблонную маску и что делать с теми подсетями, которые охватывает данная шаблонная маска.
Допустим у вас огромная компания, которая состоит из следующих подсетей:
- 172.16.1.0/24
- 172.16.2.0/24
- …
- 172.16.9.0/24
- 172.16.10.0/24
- 172.16.11.0/24
- …
- 172.16.25.0/24
- 172.16.26.0/24
- 172.16.27.0/24
- …
- 172.16.41.0/24
- 172.16.42.0/24
- 172.16.43.0
- …
Предположим, начальник дал задание, чтобы красным подсетям был закрыт доступ к сети Интернет. Вместо того, чтобы писать огромный список доступа, указывая каждую отдельную сеть, можно воспользоваться шаблонной маской 0.0.240.255 для сети 172.16.10.0, которая затронет исключительно красные сети. Все остальные сети будут вне ее диапазона и поэтому не будут подвергнуты правилу списка доступа. Если вы были внимательны, то могли заметить, что шаблонная маска 0.0.240.255 охватывает каждую 16-ю по счету сеть.