Một wildcard mask dài 32 bit được chia làm 4 Octet. Mỗi một wildcard mask đi cùng với một địa chỉ IP. Số bit 0 và 1 trong wildcard mask được sử dụng để xác định cách xử lý bit tương ứng trong địa chỉ IP.
Hình 7.6. Cấu trúc của wildcard mask và địa chỉ IP
Subnet Mask có chuỗi bit 1 bắt đầu từ trái kéo dài sang phải để xác định phần host và phần mạng trong một địa chỉ IP. Trong khi đó wildcard mask được thiết kế để lọc ra một địa chỉ IP riêng lẻ hay một nhóm địa chỉ IP để cho phép hay từ chối truy cập dựa trên địa chỉ IP. Giá trị 0 và 1 trong wildcard mask có ý nghĩa khác với bit 0 và 1 trong subnet mask. Để tránh nhầm lẫn, chữ x được sử dụng để thay thế bit 1 trong wildcard mask.
Ví dụ, wildcard mask là 0.0.257.257. Bit 0 có nghĩa là bit tương ứng trong địa chỉ IP phải kiểm tra, còn bit x (bit 1) có nghĩa là bit tương ứng trong địa chỉ IP có thể bỏ qua không cần kiểm tra.
Trong quá trình wildcard mask, địa chỉ IP trong mỗi câu lệnh được kết hợp với wildcard mask trong câu lệnh đó để tính ra giá trị chuẩn. Giá trị này dùng để so sánh với địa chỉ của các gói dữ liệu đang được kiểm tra bởi câu lệnh ACL.
Nếu hai giá trị nàygiống nhau thì có nghĩa là điều kiện về địa chỉ đã được thỏa mãn. Có hai từ khóa đặc biệt được sử dụng trong ACLs là any và host. Any đại diện cho IP 0.0.0.0 và wildcard mask là 257.257.257.255, host đại diện cho wildcard mask 0.0.0.0.
169
Hình 7.7. Quá trình kết hợp IP và wildcard mask