子網(wǎng)掩碼

應(yīng)用：判斷目的IP跟自己是否是同一網(wǎng)段的依據(jù)。

特點(diǎn)：由1和0組成。左邊是網(wǎng)絡(luò)位，1的數(shù)目等于網(wǎng)絡(luò)位的長(zhǎng)度;右邊是主機(jī)位，0的數(shù)目等于主機(jī)位的長(zhǎng)度，1和0絕對(duì)不可能間隔，1總在0的前面。

誤區(qū)：對(duì)方跟我在同一子網(wǎng)，但不能通信。

案 例：網(wǎng) 絡(luò) 配置：PC0:172.16.20.8255.255.255.0

PC1:172.16.20.250 255.255.255.240

PC0上 運(yùn) 行Ping 172.16.20.250

具體通信過程：

1.PC0認(rèn)為PC1跟自己在同一個(gè)子網(wǎng)，首先廣播發(fā)送ARP請(qǐng)求PC1的MAC。

2.PC1收到請(qǐng)求后回應(yīng)PC0的MAC。

3.PC0得到了PC1的MAC地 址，封 裝ICMP數(shù)據(jù)包，其中PC目的IP即172.16.20.250。

4.PC1收到PC0的ICMP請(qǐng)求包，準(zhǔn)備響應(yīng)(其實(shí)到這里整個(gè)數(shù)據(jù)通信都是暢通的)。

但是，PC1發(fā)現(xiàn)用自己的掩碼匹配發(fā)現(xiàn)兩個(gè)IP不是同一 子 網(wǎng)（PC0 ：172.16.20.0，PC1:172.16.20.240），而 自己又沒有配置網(wǎng)關(guān)地址，丟棄數(shù)據(jù)包不回應(yīng)，則通信終止。

當(dāng)然在現(xiàn)實(shí)中，有很多用戶反映同樣的配置可以連通，其實(shí)關(guān)鍵在于后面是否配置了網(wǎng)關(guān)，因?yàn)楝F(xiàn)實(shí)中都配有網(wǎng)關(guān)了。

比如，上例中都配上網(wǎng)關(guān)：172.16.20.254。 這 樣PC1發(fā)現(xiàn)PC0不在同一子網(wǎng)后會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān)，然后再與PC0實(shí)現(xiàn)通信。

以上案例充分說明子網(wǎng)掩碼只具有本地意義，不能作為匹配對(duì)端正常通信的依據(jù)。這就類似于現(xiàn)實(shí)生活中的“一廂情愿”，她符合我的標(biāo)準(zhǔn)，誤認(rèn)為就可以正常交往了，但她發(fā)現(xiàn)我不是他的“菜”，通信結(jié)束了。

通配符掩碼

應(yīng)用：匹配一組符合否規(guī)則的IP地址。

特點(diǎn)：0表匹配，1表示不需要匹配。0和1 的位置根據(jù)需求可隨意安放。

誤區(qū)：跟子網(wǎng)掩碼是相反的過程，簡(jiǎn)稱為“反掩碼”，根據(jù)子網(wǎng)掩碼方式匹配。

案 例 1： 阻 止172.16.1.0/24訪問

配置環(huán)境：H3C交換機(jī)（下同）

命 令：rule 0 deny source 172.16.1.00.0.0.255

根據(jù)通配符匹配原則，全0的匹配，即172.16.1；全1的不需要匹配，即172.16.1.X。當(dāng)然這里剛好與子網(wǎng)掩碼講到的一樣，正好 是 255.255.255.0（反 掩碼）匹配的結(jié)果，全1的是網(wǎng)絡(luò)位，全0的是主機(jī)位。實(shí)際上是一種巧合而已，前提是掩碼中1總在0的前面。實(shí)際上邏輯關(guān)系已經(jīng)變了，只是恰巧蒙對(duì)了而已。

在官方的文檔中沒有反掩碼一說，英文名稱wildcard mask非常清楚地表明是通配符，如下所示，在H3C交換機(jī)上顯示的幫助信息：

[JIAOXUE_A1-DS-aclbasic-2003-ip-ac1]rule 0 deny source 172.16.1.0 ?

0 Wildcard bits:0.0.0.0 (a host)

X.X.X.X Wildcard of source

另外一種情況：

案例2：阻止 X.16.1.x訪問

命 令：rule 0 deny source 172.16.1.0255.0.0.255

[JIAOXUE_A1-DS-aclbasic-2003-ip-ac1]dis this

acl number 2003 name ip-ac1

rule 0 deny source 0.16.1.0 255.0.0.255

如果按照“反掩碼”的思想來匹配就有沖突了，因?yàn)槿?不是連續(xù)的，也不都是在0的前面了，只能用通配符的思想來匹配了，它表示阻止所有中間兩位是16.1的網(wǎng)絡(luò)IP。

當(dāng)然也有特殊情況，這也作為有的用戶實(shí)驗(yàn)證明“反掩碼”的案例：

案例 3：OSPF的 network命令:宣告172.16.2.0 網(wǎng)絡(luò)

命 令 ：network 172.16.2.00.0.0.255

此時(shí)的network命令實(shí)際上宣告了172.16.2.0-172.16.2.255有256個(gè)地址，如果把接口的掩碼反過來寫，正好表示172.16.2.0這個(gè)網(wǎng)絡(luò)地址。或者寫成如下命令：

network 172.16.3.0 255.255.255.0

最終效果居然一樣了。查看系統(tǒng)的配置清單如下：

[JIAOXUE_A1-DS-ospf-11-area-0.0.0.4]dis this

area 0.0.0.4

network 172.16.2.0 0.0.0.255

network 172.16.3.0 0.0.0.255

network 172.16.20.0 0.0.0.255

系統(tǒng)把它自動(dòng)轉(zhuǎn)換過了，完整地宣告了用戶原來要表達(dá)的意愿。其實(shí)這也是一個(gè)特例，因?yàn)閚etwork本身的功能是宣告網(wǎng)絡(luò)地址，這就隱含了地址的固定格式，那么通配符掩碼在配置的時(shí)候必須遵循網(wǎng)絡(luò)地址的格式，連續(xù)的1，如果不是就會(huì)提醒配置錯(cuò)誤，如下所示：

[JIAOXUE_A1-DS-ospf-11-area-0.0.0.4]network 172.16.0.1 255.0.0.255

OSPF Network mask is not continuous.（OSPF網(wǎng)絡(luò)掩碼不連續(xù)）。

思考：network 172.16.3.0 255.255.255.0按照正常匹配應(yīng)該是宣告IP前三個(gè)字節(jié)是任意數(shù)據(jù)，后一個(gè)字節(jié)是0的網(wǎng)絡(luò)。

這顯然是不符合網(wǎng)絡(luò)地址規(guī)則的，但是它又是連接的1和連接的0，因此系統(tǒng)就“聰明”地自作主張自動(dòng)轉(zhuǎn)換成正常的網(wǎng)絡(luò)地址掩碼了。正是這樣善意的舉動(dòng)導(dǎo)致不少用戶產(chǎn)生了“反掩碼”這一習(xí)慣性的描述。