라우터 ACL설정시 wild card사용법

   
IP 주소가 1.1.1.1~ 1.1.1.3   인 pc를  access-list에 적용시키고자 할때 wildcard를 쓰면 
한줄에 추가할 수 있다 . 
라우터에서 ACL을 처리할때 wildcard를 사용하게 되는데 특정 영역대의 IP또는 Network 주소를 지칭할때 IP주소별로 한줄한줄 정책을 입력하는 것이아니라 네트워크 주소와 wildcard를 써서  한 줄에 나타낼 수 있다. 

 

일단, 여기서 wild card의 원리를 알아보자 
 

와일드 카드 마스크(wildcard mask)란 특정 비트와의 일치 여부를 지정할 때 사용되는 표기법 이다. 와일드 카드 마스크를 적절히 사용하면 여러개의 네트워크를 아주 간단하게 표현할 수 있다.

와일드 카드 마스크에서, 반드시 일치해야 하는 비트는 0으로 지정하고, 일치 여부와 상관없는 비트는 1로 지정한다.


예시 > 1.1.1.1 ~ 1.1.1.3 의 주소를 한번에 표기하기 위하여 위하여 wild card주소가 필요하다 .
            wild card는? 네트워크 주소는 1.1.1.0 이다. 

보통 , 1.1.1.0   0.0.0.255 의 의미는 1.1.1. 로 시작하는 모든 IP 주소라는 의미이다.
 따라서 이러한 wild card를 이용하면 특정 영역의 IP주소 또는 네트워크 주소를 가리키는 것이 가능하다. 

ex > 172.16.0.0  0.0.255.255의 의미는 172.16. 으로 시작하는 모든 IP 주소라는 의미이다. 


wild card 표기법을 살펴보자.

위의  IP 주소를 2진수로 나타내면 다음과 같다. 

1.1.1.1   :   0000 0001 ,  0000 0001, 0000 0001, 0000 0001            

1.1.1.2   :   0000 0001 ,  0000 0001, 0000 0001, 0000 0010

1.1.1.3   :   0000 0001 ,  0000 0001, 0000 0001, 0000 0011

지금 우리는  IP주소나 네트워크 주소의 특정 영역을 가리키기 위한 wild card값을 찾아보는 중이다.

그러므로  위의 1.1.1.1 ~ 1.1.1.3에서 빨간부분은 안바뀌는 부분, 까만부분은 바뀌는 부분이다. 3개를 동시에 생각해야 하므로 1.1.1.1에서도 바뀌는 부분은 1  하나만이 아니라  01이 되는것이다. 
wild card는 이 부분을 살펴보면된다. 
즉, 안바뀌는 부분인 빨간색 부분은 0으로 대체하고 , 바뀌는 부분인 까만색은 1로 대체한다.
그러면 다음과 같다. 

1.1.1.1   :   0000 0000 ,  0000 0000, 0000 0000, 0000 0011               ===> 0.0.0.3

1.1.1.2   :   0000 0000 ,  0000 0000, 0000 0000, 0000 0011               ===> 0.0.0.3             

1.1.1.3   :   0000 0000 ,  0000 0000, 0000 0000, 0000 0011               ===> 0.0.0.3

Wild Card = 0.0.0.3

세가지 IP주소 모두 0.0.0.3  이것이  1.1.1.1 ~ 1.1.1.3 까지를 가리키는 wild card이다. 
표기는 [네트워크주소][wild card]          =   . 1.1.1.0  0.0.0.3 이다

---

다음으로 네트워크 주소를 예로 들어보자 


172.16.0.0  0.0.255.255의 의미는 172.16으로 시작하는 모든 IP 주소라는 의미이다.
발신지가 10.1.2.0/24이거나 10.1.3.0/24인 네트워크를  모두 차단하려면 다음과 같이 설정한다.
(Router에서 설정하는것이다.) 

access-list 2 deny 10.1.2.0 0.0.0.255
access-list 2 deny 10.1.3.0 0.0.0.255

그러나 다음과 같은 와일드 카드 마스크를 적용하면 한 문장으로 표현할 수 있다.

access-list 2 deny 10.1.2.0 0.0.1.255

그 이유를 살펴보자. 10.1.2.0 부터 10.1.3.0까지를 2진수로 표시하면 다음과 같다.

10.1.2.0 : 00001010.   00000001.   00000010.  00000000
10.1.3.0 : 00001010.   00000001.   00000011.   00000000

직관적으로 이해해서 
여기서 빨간 숫자들은 모두 같은 부분 , 다른말로하면 바뀌면 안되는 부분이고 
찐한 숫자들은 앞으로 바뀌어질 가능성이 있는 부분이다.

따라서 이 두 IP주소를 동시에 나타내주는 Wild Card는 빨간부분은 0으로 까만부분은 1로
0000 0000.  0000 0000.  0000 0001. 1111 1111 로 나타낼 수 있다. 

이것을 10진수로 바뀌면 다음과 같다.
 
0  .  0  .  1  .  255 

[출처] [펌] IP 와일드카드 비트 계산|작성자 ㅇ인연