Wildcard-Masken bei IPv6

[Marco Moock]

Hallo zusammen!

Bei Cisco gibt es bei IPv4-ACLs sog. wildcard-Masken, einfach eine
invertierte Subnetzmaske.

10.0.0.0/24 stellt man als 10.0.0.0 0.0.0.255 dar.
Man kann bei diesen Masken aber auch einzelne bits setzen, die dann in
der IP egal sind.

10.0.0.0 0.1.0.255 würde z.B. 10.0.0.0/24 und 10.1.0.0/24 beinhalten.

Gibt es sowas auch für IPv6?
Bisher konnte ich dazu nichts finden.

--
Gruß
Marco Moock

[Ignatios Souvatzis]

Marco Moock wrote:

> Bei Cisco gibt es bei IPv4-ACLs sog. wildcard-Masken, einfach eine
> invertierte Subnetzmaske.

... auch bei Routen, dann sind sie nicht invertiert, und das nicht bei
Cisco, sondern praktisch ueberall (denn die alte
BSD-Referenz-Implementierung hat's ja in die Welt gesetzt).

(Bei NetBSD haben wir vor Jahren mal diskutiert, ob es ernsthafte
Anwendungen gibt oder wir fuer eine effizienteres Routing den Support
von lueckenhaften Netzmasken fallen lassen wollen.)

> 10.0.0.0/24 stellt man als 10.0.0.0 0.0.0.255 dar.
> Man kann bei diesen Masken aber auch einzelne bits setzen, die dann in
> der IP egal sind.
>
> 10.0.0.0 0.1.0.255 würde z.B. 10.0.0.0/24 und 10.1.0.0/24 beinhalten.
>
> Gibt es sowas auch für IPv6?
> Bisher konnte ich dazu nichts finden.

Nein, mit Absicht nicht, nur eine Netzgroesse in Bits.

Auch bei IPv4 ist das eher eine Optimierung der Implementierungen
(damals), die bits direkt anzugeben; wenn du das mit Lücken tust,
ist es im Allgemeinen nicht mehr eindeutig, welches Netz+Maske denn
Vorrang hat... Mir sind fuehr Lueckenhafte Netzmasken ungefaehr zwei
ersthafte Anwender in den letzten 30 Jahren begegnet.

In der Regel* kannst du sowas durch mehrere Eintraege ohne Luecken
ersetzen, wenn's auch zum Teil kompliziert wird.

-is

*) Sprich - ich mag so spaet am Abend nicht mehr beweisen, dass
das immer moeglich ist.

[Marco Moock]

Am 17.06.2023 um 21:45:22 Uhr schrieb Ignatios Souvatzis:

> Mir sind fuehr Lueckenhafte Netzmasken ungefaehr zwei
> ersthafte Anwender in den letzten 30 Jahren begegnet.

Könntest du darüber mehr sagen?

[Ignatios Souvatzis]

In dem einen Fall hat man festgestellt, dass man ein Netz zu knapp
eingerichtet hatte, und Erweiterung auf der richtigen Seite nebenan
ging nicht da schon belegt und man Umnummerierung fuerchtete.

Mit passender lueckenhafte-Netzmasken-Logik ging's aber.

Konstruiertes Beispiel, analog zum einen Fall (es waren kleinere
Subnetze von einem Subnetz von einem global gerouteten IPv4 /16):

10.1.2.0/24 ist mit 254 Rechnern und dem Router belegt.
10.1.3.0/24 ist auch schon in Verwendung.

Was machst du bei 5 neuen Rechnern? richtig, nach
10.1.4.0/24 stopfen, und um sich Routingaufwand zu sparen,

die Netzmaske

255.255.253.0 benutzen. (hab ich jetzt richtig gerechnet?
11111111.11111111.11111101.00000000 ist gemeint.)

Umkonfigurieren musst du trotzem alle urspgl. - ausser, die urspgl.
Rechner beherrschen ICMP redirects oder der Router tuts fuer sie.

Ich glaube, beim andere war's auch so, ich habe da aber keine
direkten Kenntnisse, nur seine Zusammenfassung.

Jetzt verlierst du aber die Eindeutigkeit der Prioritaet der
laengeren Maske/des kleineren Netzes...

Ein anderer Grund koennte sein, dass mal jemand Adressen vergeben hat

10.funktion.abteilung.rechner, also
10.1.y.z fuer alle Fileserver, 10.2.y.z fuer alle Drucker, 10.3.y.z
fuer alle Workstations... speziell bei Einsatz von netzwerk-Filesystemen
kann es aus performancegruenden durchaussein, dass du fileserver und
workstatoins im selben IP-Netz haben willst statt geroutet (zumindest
bei damaliger Performance der Router). Und nu? siehe oben.

Tschoe
-is