Maski blankietowe
Przy projektowaniu reguł ACE można używać masek blankietowych (odwrotnych, wieloznacznych). Maska blankietowa to 32-bitowy ciąg cyfr binarnych, jest używana przez router, w celu określenia, na których bitach adresu występuje dopasowanie.
Uwaga: w przeciwieństwie do ACL IPv4, ACL w IPv6 nie używają masek blankietowych. W zamian za to stosowana jest długość prefixu, która określa, w jakiej części adres źródłowy lub docelowy IPv6 będzie dopasowany. Listy ACL IPv6 będą omówione w dalszej części rozdziału.
Podobnie jak w przypadku masek podsieci, cyfry 1 i 0 maski blankietowej mówią o tym, jak należy interpretować odpowiadające im bity adresu IP. Jednak inne jest ich przeznaczenie i podlegają innym zasadom niż maski podsieci.
W maskach podsieci stany 1 i 0 poszczególnych bitów wykorzystywane są do identyfikacji części sieci (podsieci) oraz części hosta adresu IP. W maskach blankietowych poszczególne bity służą do filtrowania pojedynczych adresów IP lub grup adresów IP w celu zezwolenia lub zablokowania dostępu do zasobów.
Maski blankietowe oraz maski podsieci różnią się sposobem, w jaki osiągane jest dopasowanie bitów bitów 1 i 0. Reguły dopasowania masek blankietowych są następujące:
- Bit 0 maski blankietowej - dopasuj odpowiadający mu bit adresu IP.
- Bit 1 maski blankietowej - zignoruj odpowiadający mu bit adresu IP.
Rysunek 1 pokazuje różnicę w filtrowaniu adresu IP przez maskę blankietową. Na podstawie tego przykładu zapamiętaj: binarne 0 oznacza bit, który musi być dopasowany, binarna 1 oznacza bit, na którym dopasowania być nie musi.
Uwaga: Maski blankietowe są często określane jako maski odwrotne (ang. inverse mask). Powodem jest fakt, że w przeciwieństwie do maski podsieci, gdzie bit 1 oznaczał dopasowanie a bit 0 brak dopasowania, w masce blankietowej sytuacja jest odwrotna.
Korzystanie maski blankietowej.
W tabeli na rysunku 2 pokazano efekt działania maski blankietowej 0.0.255.255 na 32-bitowym adresie IPv4. Pamiętaj, że binarne 0 oznacza wartość dopasowaną.
Maski blankietowe są także używane przy konfiguracji niektórych protokołów routingu IPv4, takich jak np. OSPF, aby uruchomić protokół na wybranych interfejsach.