在我们学习ACL中，在搞懂ACL的同时也要搞定通配符掩码（wildcard mask）。说简单点，通配符掩码就是0为绝对匹配，必须严格匹配才行，而1为任意，从某种意义上讲，如果一个8位上有一个1字符，那也只有两种方式，0或者1，但是如果进行组合，那么方式就多了。

记住一点：只要严格按照0——严格匹配，1——任意配置的原则不管什么反掩码都是纸老虎。

举例说明吧。

一般我们在应用上都是进行地址块的匹配，怎么讲呢？就是说：
（1）对某个A B C类网进行匹配或者教通配符屏蔽
（2）对某个子网应用ACL。
（3）对特定主机应用ACL
（4）对任意主机或者网络应用ACL
（5）特殊情况的匹配
差不多就是以上五种情况，下面一一说明。

（1）对某个有类网络进行ACL的通配符屏蔽。

这种情况很好解释。

例如：A类：10.0.0.0 0.255.255.255

先写成二进制形式： 00001010.00000000.00000000.00000000

00000000.11111111.111111111.11111111

可以看出，第一个字节需要严格匹配，也就是说必须为10.，后面的任意匹配。

得到的网络为10...*

如果我把这个改一下呢？10.0.0.0 0.0.3.255

同样写成二进制形式：00001010.00000000.00000000.00000000
00000000.00000000.00000011.111111111

前两个字节严格匹配为10.0，后面的同上题一个思路，0就严格匹配，1就任意。

在这里，后10个比特可以任意匹配，我们通过计算可以得到合适的结果：

10.0.0.*

10.0.1.*

10.0.2.*

10.0.3.*

这四个子网

在例如这道题（华为认证中的某到题）

10.1.1.0 0.0.254.255
写成二进制
0000 1010 . 0000 0001 . 0000 0001 .0000 0000
0000 0000 . 0000 0000 . 1111 1110 . 1111 1111
根据0就严格匹配，1就任意，可得到结果 （注意：这里X代表任意填充 ）
10.1.xxxx xxx1.xxxx xxxx
即匹配到了 10.1.1.1（10.1.0000 0001.0000 0000） 10.1.3.1（10.1.0000 0011.0000 0000）
所以选AC

（2）对某个子网应用ACL

还是举例说明，以C类网络192…168.1.0/24为例进行子网划分。
我们引入地址块的思想进行解释会好理解一些。因为子网一般都是以地址块形式存在的。

地址块为128，192.168.1.128 0.0.0.127

地址块为64，192.168.1.0 0.0.0.63

地址块为32，192.168.1.0 0.0.0.31

地址块为16，192.168.1.0 0.0.0.15

地址块为8，192.168.1.0 0.0.0.7

地址块为4，192.168.1.0 0.0.0.3

地址块为2，192.168.1.0 0.0.0.1

（3）对特定主机应用ACL

通配符需要全匹配，例如：192.168.13.3 0.0.0.0

还有一种表示方法：host 192.168.13.3

Host在这里是关键字，用来代替0.0.0.0 ，用于源地址和目的地址字段。

（4）对任意主机或者网络应用ACL

这是任意匹配的情况，主机任意，通配符任意匹配：0.0.0.0 255.255.255.255，同时这里也有简写——any

（5）比较特殊的情况。

用我的话说这种情况是不按规则出牌的情况，也是比较有趣的。

我不想让某个子网或者是某个有类网被通配符屏蔽，我仅仅是想让部分主机被屏蔽，不过这部分主机也应该是有规律的，要不管理人员肯定得折腾疯。哈哈。

仅举两例以供说明：

随便写一个，计算出屏蔽了哪些网络。

随便写一个 192.168.1.23 0.0.0.5

怎么？傻眼了？哈哈哈哈哈哈哈哈，这就是不按规则出牌的情况，CCNA自学指南里面肯定说了，不能从11.0或者12.0等网络开始，非得是2的次幂才行。对此规矩我们不予理睬，下面我慢慢讲解，大家细细品味，还是使用最为原始的办法进行一个一个匹配。

写成二进制形式：11000000.10101000.00000001.00010111
00000000.00000000.00000000.00000101

接下来就是匹配计算了。前三个字节毫无疑问，严格匹配。最后一个字节逢0匹配，逢1任意。
0001 0010

0000 0011
0000 0110
0000 0111
000101

如上的公式，我们看到有星号的位置是可以任意匹配的，这样我们就可以算出：

①00010010——18

②00010011——19

③00010110——21

④00010111——23

这样就很明显了，得到的结果就是
192.168.1.18

192.68.1.19

192.168.1.21

192.168.1.23 都被0.0.0.5这个通配符掩码给屏蔽了。

怎样，这个不按规则出牌的通配符掩码是不是也愚弄了你一次？

备注：只要严格按照0——严格匹配，1——任意配置的原则不管什么反掩码都是纸老虎。

写第二个，我需要匹配一个网络里面奇数IP的主机或者偶数IP的主机（或者的路由过滤中需要奇数网络）

还是看例子：

192.168.1.1

192.168.1.2

192.168.1.3

192.168.1.4

192.168.1.5

192168.1.6

192.168.1.7

192.168.1.9

……………

192.168.1.254

思路都是一样的，条条道路通罗马，这里条条道路通配符

我还是要写成二进制形式

前面的三个字节就省略了，只写后面的一个字节的：

00000001

00000010

00000011

00000100

00000101

00000110

00000111

…………

看出规律了么？ 什么？没有啊，仔细瞧瞧么！奇数IP的最后一位都是1，而偶数IP的最后一位都是0。这就是规律啊。

那么怎么写呢？这个就比较简单了吧，奇数IP的：192.168.1.1 0.0.0.254 ；偶数IP的呢——192.168.1.2 0.0.0.254

再例如 192.168.1.0 0.0.0.254 （抓到了192.168.1.2 192.168.1.4 192.168.1.6 192.168.1.8 ………等等）

如上就是我对ACL的理解，有说错的，做错的，还望大家指正，所谓三人行必有我师，你有什么更好的办法别忘记跟帖。

ACL主要难点是在通配符的计算，如有这么一道题：

已知子网，求通配符掩码。

例：允许199.172.5.0/24

199.172.10.0/24

199.172.13.0/24

199.172.14.0/24网段访问路由器。要求写出ACL来，但只能用两条ACL代替。

先将这四个数换成二进制：
5.0 0 1 0 1

10.0 1 0 1 0

13.0 1 1 0 1

14.0 1 1 1 0

观察可以看到5.0和13.0

10.0和14.0有共同点。

2.将不相同的部分（变换的数字）用Z表示

5.0和13.0

Z 1 0 1

10.0和14.0

1 Z 1 0

3.将Z换成1，不变换（相同部分）换成0。可以得出：

5.0和13.0

Z 1 0 1 ------------ 1 0 0 0

10.0和14.0

1 Z 1 0 ------------ 0 1 0 0

4.最后将二进制换成十进制：

5.0和13.0

Z 1 0 1 ------------ 1 0 0 0 -------- 8

10.0和14.0

1 Z 1 0 ------------ 0 1 0 0 -------- 4

最后得出：

access-list 10 permit 199.172.5.0 0.0.8.0

access-list 11 permit 199.172.10.0 0.0.4.0

举个例子：
比如：控制192.168.1.40/24-192.168.1.70/24这一段IP地址能访问server，如何设置通配符掩码？

只能分段完成，这里我分四段。（也可以分五段，自己想）

192.168.1.40—47 192.168.1.40 0.0.0.7

192.168.1.48—63 192.168.1.48 0.0.0.15

192.168.1.64—71 192.168.1.64 0.0.0.7

外加一条deny 192.168.1.71 0.0.0.0

也可以五段：

00101000 192.168.1.40 0.0.0.7（192.168.1.40-47）

00101111

00000111

00110000 192.168.1.48 0.0.0.15（192.168.1.48-63）

00111111

00001111

01000000 192.168.1.64 0.0.0.3 （192.168.1.64-67）

01000011

01000100 192.168.1.68 0.0.0.1 （192.168.1.68-69）

01000101

01000110 192.168.1.70 0.0.0.0 （192.168.1.70）