Sei sulla pagina 1di 3

COMODINES (WILDCARD) EN ACL

Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o
bien para una direccin IP individual. La comparacin de direcciones tiene lugar
usando mscaras que actan a modo de comodines en las direcciones de la lista de
acceso, para identificar los bits de la direccin IP que han de coincidir explcitamente y
cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de
direcciones IP utiliza los nmeros 1 y 0 para referirse a los bits de la direccin.
Un bit de mscara wildcard 0 significa comprobar el valor correspondiente
Un bit de mascara wildcard 1 significa No comprobar (ignorar) el valor del bit
correspondiente
Para los casos ms frecuentes de enmascaramiento wildcard se pueden utilizar
abreviaturas.
Host = mascara comodn 0.0.0.0, utilizada para un host especifico
Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred
En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los
host pertenecientes a dicha direccin de red o subred. Cualquier direccin de host
ser leda como direccin de red o subred.

Direccin IP 172
16
32
0
En binarios 10101100
00010000
00100000
00000000
Mascara de11111111
11111111
11100000
00000000
red
wildcard
00000000
00000000
00011111
11111111
Resultado Se toman enSe toman enSe toman en cuenta 3ignorados
cuenta 8 bits
cuenta 8 bits
bits se ignoran 5
Las Wilcard tambin permiten identificar rangos simplificando la cantidad de comandos
a introducir, en este ejemplo la wildcard debe identificar el rango de subredes entre la
172.16.16.0/24 y la 172.16.31.0/24
Trabaje con el tercer octeto, se debe trabajar con el rango entra 16 y 31:
16

000 1 0000
17
000 1 0001
18
000 1 0010
19
000 1 0011
20
000 1 0100
21
000 1 0101
22
000 1 0110
...
.........
30
000 1 1110
31
000 1 1111

El bit comn es el correspondiente al valor decimal16,


Los bits a ignorar junto con los del cuarto octeto estarn en 1 [00001111.11111111
= 15.255] por lo tanto la Wilcard ser:
172.16.16.0

0.0.15.255

Mascara Wildcard en ACL


El clculo de mscaras wildcard puede ser difcil. Un mtodo abreviado es restar la
mscara de subred a 255.255.255.255.
Clculo de mscara wildcard: ejemplo 1
En el primer ejemplo en la ilustracin, suponga que desea permitir el acceso a todos
los usuarios en la red 192.168.3.0. Dado que la mscara de subred es 255.255.255.0,
podra tomar 255.255.255.255 y restarle la mscara de subred 255.255.255.0. El
resultado genera la mscara wildcard 0.0.0.255.

Clculo de mscara wildcard: ejemplo 2


En el segundo ejemplo en la ilustracin, suponga que desea permitir el acceso a la red
a los 14 usuarios en la subred 192.168.3.32/28. La mscara de subred para la subred
IP es 255.255.255.240; por lo tanto, tome 255.255.255.255 y rstele la mscara de
subred 255.255.255.240. Esta vez, el resultado genera la mscara wildcard 0.0.0.15.

Clculo de mscara wildcard: ejemplo 3


En el tercer ejemplo en la ilustracin, suponga que solo quiere establecer la
coincidencia con las redes 192.168.10.0 y 192.168.11.0. Una vez ms, tome
255.255.255.255 y reste la mscara de subred regular que, en este caso, es
255.255.252.0. El resultado es 0.0.3.255.

Puede lograr el mismo resultado con instrucciones como las dos que se muestran a
continuacin:
R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 192.168.11.0
Resulta mucho ms eficaz configurar la mscara wildcard de la siguiente manera:
R1(config)# access-list 10 permit 192.168.10.0 0.0.3.255
Tenga en cuenta la configuracin que se indica a continuacin para establecer
coincidencias con las redes en el rango entre 192.168.16.0 y 192.168.31.0:
R1(config)# access-list 10 permit 192.168.16.0
R1(config)# access-list 10 permit 192.168.17.0
R1(config)# access-list 10 permit 192.168.18.0
R1(config)# access-list 10 permit 192.168.19.0
R1(config)# access-list 10 permit 192.168.20.0
R1(config)# access-list 10 permit 192.168.21.0
R1(config)# access-list 10 permit 192.168.22.0
R1(config)# access-list 10 permit 192.168.23.0
R1(config)# access-list 10 permit 192.168.24.0
R1(config)# access-list 10 permit 192.168.25.0
R1(config)# access-list 10 permit 192.168.26.0
R1(config)# access-list 10 permit 192.168.27.0
R1(config)# access-list 10 permit 192.168.28.0
R1(config)# access-list 10 permit 192.168.29.0
R1(config)# access-list 10 permit 192.168.30.0
R1(config)# access-list 10 permit 192.168.31.0
Las 16 instrucciones de configuracin indicadas anteriormente se pueden reducir a
una sola instruccin con la mscara wildcard correcta, como se muestra a
continuacin:
R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255