Wildcard Mask là gì? Wildcard Masks được sử dụng trong mạng như thế nào?

Wildcard mask được sử dụng với IPv4 để chỉ định dải địa chỉ IP, được tận dụng bởi các tính năng khác nhau, bao gồm danh sách kiểm soát truy cập (ACL) và định tuyến (Routing).



Trong bài viết này, chúng ta sẽ tìm hiểu sâu hơn về Wildcard mask là gì và cách chúng có thể được sử dụng theo nhiều cách khác nhau trong mạng.

Wildcard Mask là gì?

Wildcard mask bao gồm một chuỗi 32 bit và hoạt động tương tự như mặt nạ mạng con (Subnet mask) nhưng theo cách ngược lại.

Trong trường hợp mặt nạ mạng con sử dụng số 1 nhị phân để biểu thị bit mạng và số 0 nhị phân để biểu thị bit máy host, Wildcard mask sẽ sử dụng số 1 cho bit máy host và số 0 cho bit mạng.

Ví dụ: nếu bạn có địa chỉ mạng IP là 192.168.1.0 và muốn xác định dải địa chỉ từ 192.168.1.0 đến 192.168.1.255, bạn sẽ sử dụng mặt nạ mạng con là 255.255.255.0.

Mặt nạ mạng con 255.255.255.0 được biểu diễn dưới dạng nhị phân như sau:

11111111.11111111.11111111.00000000

Nếu bạn sử dụng Wildcard mask tương ứng để xác định cùng một phạm vi, bạn sẽ phải sử dụng ngược lại, trong hệ nhị phân là:

00000000.00000000.00000000.11111111

Và ở định dạng thập phân là 0.0.0.255

Vì vậy, một ký hiệu sử dụng Wildcard mask : 192.168.1.0 0.0.0.255 sẽ chỉ định phạm vi địa chỉ từ 192.168.1.0 đến 192.168.1.255.

Bảng sau đây cho thấy một số mặt nạ mạng con phổ biến nhất và các Wildcard mask của chúng ở định dạng thập phân.



Khi nào bạn sử dụng dải địa chỉ IP với mặt nạ mạng con (Subnet mask) hay mặt nạ ký tự đại diện (Wildcard mask).

Những tính năng nào sử dụng Wildcard mask?

Tính năng phổ biến nhất trên thiết bị Cisco IOS sử dụng Wildcard mask là danh sách kiểm soát truy cập (ACL), cả tiêu chuẩn và mở rộng.

Tuy nhiên, ngoài ACL, nhiều tính năng khác tận dụng Wildcard mask. Bao gồm các:

· Routing protocols such as OSPF, EIGRP and BGP
· Route maps
· IP summarization
· Network Address Translation (NAT)
· Virtual Routing and Forwarding (VRFs)

Như bạn có thể thấy, có rất nhiều tính năng và cấu trúc tận dụng Wildcard mask để xác định phạm vi địa chỉ IP.

Lưu ý rằng mỗi tính năng có thể sử dụng Wildcard mask hơi khác nhau và bạn nên tìm hiểu cách sử dụng chúng trong ngữ cảnh của từng tính năng.

Nhưng có một vấn đề khác mà chúng ta cũng nên lưu ý. Một số tính năng này sẽ chấp nhận mặt nạ mạng con thay vì Wildcard mask.

Các giao thức định tuyến như EIGRP và OSPF là các tính năng có thể sử dụng Wildcard mask hoặc mặt nạ mạng con khi xác định các mạng con sẽ tham gia vào giao thức định tuyến. Điều này thường được thực hiện để giúp quản trị viên dễ dàng hơn.

Tính năng nào chấp nhận Wildcard mask, tính năng nào chấp nhận mặt nạ mạng con và tính năng nào chấp nhận cả hai có thể khác nhau giữa các nền tảng và giữa phiên bản IOS với phiên bản IOS, vì vậy bạn nên kiểm tra tài liệu tham khảo lệnh của Cisco hoặc tự mình thử nghiệm trực tiếp.

Ví dụ về việc sử dụng Wildcard mask

Các ví dụ về cách sử dụng Wildcard mask với các tính năng khác nhau được tìm thấy trong các thiết bị Cisco IOS.

Danh sách Access control list (ACL)

Wildcard mask được sử dụng trong ACL để chỉ định dải địa chỉ IP để cho phép hoặc từ chối lưu lượng. Dưới đây là hai ví dụ về cách sử dụng Wildcard mask trong cấu hình ACL:

Ví dụ 1 – Cho phép lưu lượng truy cập từ một mạng con cụ thể:

ip access-list extended ACL-Example1
permit ip 192.168.1.0 0.0.0.127 any

Trong ví dụ này, Wildcard mask 0.0.0.127 được sử dụng để biểu thị dải địa chỉ IP 192.168.1.0 – 192.168.1.127 (mạng con 192.168.1.0/25).

ACL cho phép lưu lượng truy cập từ bất kỳ máy nào trong mạng con này đến bất kỳ đích nào. Để tham khảo, Wildcard mask ở dạng nhị phân trông như sau:

00000000.00000000.00000000.01111111

Ví dụ 2 – Từ chối lưu lượng truy cập từ một máy chủ cụ thể:

ip access-list extended ACL-Example2
deny ip host 10.0.0.5 any
permit ip any any

Trong ví dụ này, từ khóa "host" được sử dụng làm cách viết tắt cho Wildcard mask 0.0.0.0, chỉ định đối sánh chính xác cho địa chỉ IP 10.0.0.5. ACL từ chối lưu lượng truy cập từ máy cụ thể này đến bất kỳ đích nào trong khi cho phép tất cả lưu lượng truy cập khác.

EIGRP

Wildcard mask được sử dụng trong cấu hình EIGRP để xác định giao diện nào sẽ tham gia vào quá trình định tuyến EIGRP. Đây là một ví dụ về cách sử dụng mặt nạ ký tự đại diện trong cấu hình EIGRP:

Giả sử bạn có một bộ định tuyến với các giao diện và địa chỉ IP sau:

· FastEthernet0/0: 192.168.0.1/23
· FastEthernet0/1: 192.168.2.1/23

Bạn muốn cấu hình EIGRP để chỉ bao gồm giao diện FastEthernet0/0 (mạng con 192.168.0.0/23) trong quy trình định tuyến. Bạn sẽ sử dụng cấu hình sau:

router eigrp 100
network 192.168.0.0 0.0.1.255

Trong ví dụ này, quy trình EIGRP với AS số 100 được định cấu hình với câu lệnh mạng bao gồm dải địa chỉ IP 192.168.0.0 – 192.168.1.255, sử dụng Wildcard mask 0.0.1.255. Wildcard mask này trông như thế này ở dạng nhị phân:

00000000.00000000.00000001.11111111

Do đó, chỉ giao diện FastEthernet0/0, có địa chỉ IP trong phạm vi được chỉ định, sẽ tham gia vào quy trình EIGRP.

Dịch địa chỉ mạng (NAT)

Wildcard mask có thể được sử dụng với NAT trên bộ định tuyến của Cisco để xác định dải địa chỉ IP sẽ được dịch. Đây là một ví dụ về cách sử dụng mặt nạ ký tự đại diện trong cấu hình NAT:

Giả sử bạn có một bộ định tuyến với các giao diện và địa chỉ IP sau:

· FastEthernet0/0 (inside interface): 192.168.1.1/24
· FastEthernet0/1 (outside interface): 203.0.113.2/29

Bạn muốn cấu hình NAT động để dịch địa chỉ IP nội bộ (mạng con 192.168.1.0/24) sang địa chỉ IP public có sẵn trong mạng con 203.0.113.2/29. Bạn sẽ sử dụng cấu hình sau:

1. Xác định danh sách truy cập bằng mặt nạ ký tự đại diện để khớp với dải địa chỉ IP bên trong:

access-list 1 permit 192.168.1.0 0.0.0.255

Trong ví dụ này, danh sách truy cập khớp với dải địa chỉ IP 192.168.1.0 – 192.168.1.255, sử dụng Wildcard mask 0.0.0.255.

2. Tạo nhóm NAT chứa các địa chỉ IP public có sẵn:

ip nat pool PublicPool 203.0.113.3 203.0.113.6 netmask 255.255.255.248

3. Định cấu hình NAT động bằng danh sách truy cập và nhóm NAT:

ip nat bên trong danh sách nguồn 1 pool PublicPool

4. Áp dụng cấu hình NAT cho các giao diện thích hợp:

interface FastEthernet0/0
ip nat inside

interface FastEthernet0/1
ip nat outside

Trong ví dụ này, Wildcard mask được sử dụng trong danh sách truy cập để chỉ định dải địa chỉ IP của mạng nội bộ sẽ được dịch bằng NAT động.

Cấu hình NAT cho phép các máy nội bộ chia sẻ địa chỉ IP công cộng trong nhóm NAT khi truy cập tài nguyên bên ngoài mạng cục bộ.

Mặt nạ mạng con (subnet mask) có thể làm được điều này không?

Tại sao lại sử dụng Wildcard mask khi chúng ta có thể sử dụng mặt nạ mạng con?

Wildcard mask và subnet mask đều phục vụ các mục đích quan trọng trong các tình huống khác nhau, nhưng không phải lúc nào chúng cũng có thể hoán đổi cho nhau. Wildcard mask cung cấp tính linh hoạt và mức độ chi tiết trong một số cấu hình mà mặt nạ mạng con (subnet mask) không thể cung cấp.

Trong trường hợp mặt nạ mạng con phải có các số 1 và 0 được sắp xếp theo cách liền kề nhau, Wildcard mask có thể có bất kỳ sự kết hợp nào của các số 1 và 0, thậm chí không liền kề.

Điều này sẽ trở nên rõ ràng hơn trong các ví dụ tiếp theo. Bằng cách này, Wildcard mask có thể biểu thị các dải địa chỉ IP không liền kề bằng một câu lệnh không thể xác định bằng mặt nạ mạng con.

Ví dụ mạng không liền kề đơn giản

Ví dụ: giả sử ta muốn xác định danh sách truy cập chỉ cho phép hai địa chỉ IP nguồn, cụ thể là 192.168.1.5 và 192.168.1.7 và sẽ từ chối tất cả các địa chỉ khác. Chúng ta có thể đạt được điều này bằng một câu lệnh duy nhất trong ACL:

ip access-list extended NonContiguousACL1
permit ip 192.168.1.5 0.0.0.2 any
deny ip any any

Hãy làm phép toán. Dưới đây là các địa chỉ chúng ta muốn khớp ở dạng nhị phân:

192.168.1.5 in binary is 11000000.10101000.00000001.00000101
192.168.1.7 in binary is 11000000.10101000.00000001.00000111

Lưu ý rằng sự khác biệt duy nhất là từ bit thứ hai đến bit cuối cùng, được in đậm màu đỏ. Phần còn lại giữ nguyên. Vì lý do này, chúng tôi đang sử dụng mặt nạ ký tự đại diện với tất cả các số 0 và 1 ở vị trí bit thay đổi:

0.0.0.2 in binary is 00000000.00000000.00000000.00000010

Không giống như mặt nạ mạng con, các số 1 và 0 không cần phải liền kề nhau trong biểu diễn nhị phân. Chúng có thể xuất hiện trong bất kỳ sự kết hợp nào.

Wildcard mask ở đây nói rằng vị trí bit được đặt thành 1 có thể là bất kỳ thứ gì, nhưng các bit được đặt thành 0 phải giữ nguyên. Vì vậy, ACL khớp với phần sau, trong đó chỉ bit được đánh dấu có thể là 0 hoặc 1.

11000000.10101000.00000001.00000101

Hai kết hợp duy nhất phù hợp với tình huống như vậy là:

11000000.10101000.00000001.00000101
11000000.10101000.00000001.00000111

…là 192.168.1.5 và 192.168.1.7.

Ví dụ không liền kề phức tạp hơn

Đây là một ví dụ phức tạp hơn mà bạn có thể muốn tính toán. Hãy tạo một danh sách truy cập cho phép các địa chỉ IP nguồn sau và từ chối tất cả các địa chỉ còn lại:

192.168.1.5
192.168.1.9
192.168.1.13
192.168.1.17

Cấu hình sẽ đạt được điều này như sau:

ip access-list extended NonContiguousACL2
permit ip 192.168.1.5 0.0.0.12 any
deny ip any any

để thực hiện phép toán, hãy chuyển đổi tất cả các địa chỉ IP thành nhị phân và xác định bit nào thay đổi giữa chúng và bit nào giữ nguyên. Tạo Wildcard mask với tất cả các số 0 và chỉ đặt những bit thay đổi thành 1 và bạn sẽ nhận được mặt nạ ký tự đại diện là 0.0.0.12.

Kết luận

Wildcard mask cung cấp một cách mạnh mẽ và linh hoạt để xác định các dải địa chỉ IP phức tạp, không liền kề trong các cấu hình mạng khác nhau, chẳng hạn như danh sách kiểm soát truy cập và giao thức định tuyến.

Bằng cách hiểu và tận dụng các thuộc tính độc đáo của chúng, chúng ta có thể đạt được khả năng kiểm soát và tối ưu hóa chi tiết trong các nhiệm vụ quản lý mạng của mình.

Bài viết liên quan:
- Mặt nạ mạng con(subnet mark) được sử dụng để làm gì
- Mạng con và cách chia mạng con

 

Thanks.