Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Damosporsentadoquesehanasimiladolasexplicacionesdadasenclasesobrela
mscarawildcard.Unadeduccininteresantequehemossacadoesquelawildcardsolo
permitelossiguientesnmeros:0137153163127.Silawildcardeselresultadode
restar255.255.255.255menoslamscaradered,enalgnoctetoestamosrestandoun
imparmenosunpar,luegoelresultadoespar.EnlasACLsquevamosaestudiarenesta
unidaddetrabajo,unamscarawildcardlavamosaasociarconunaIPdereferencia;Estos
doselementosformarnloquenosotrosvamosallamarbinomio;elbinomioserdela
forma:
IPdereferencia mscarawildcard
192.168.1.72 0.0.0.0
192.168.1.0 0.0.0.0
192.168.1.32 0.0.0.31
172.16.64.0 0.0.31.255
..
CuandonombramosalfiltroocondicindeunaACL(daigualqueseaestndaro
extendida),nosreferimosalbinomioIPdereferencia+mscarawildcard;binomioquelo
vamosaenfrentarconcientosdeIPs,algunasdelascualescumplirnlacondicinofiltro
yotrasnocumplirn.Nadamejorqueentenderloconunaseriedeejemplos:
1. Seleccionartodosloshostsdelared192.168.1.0/24.seleccionarquieredecirque
lasIPsdeloshostsdeestaredpasenelfiltroocondicinquenosvaaponerel
binomioIPdereferenciaymscarawildcard.Cmoproceder?
LasIPsdedichasubredabarcanelsiguienterango:192.168.1.0-192.168.1.255
Sicodificamosenbinarioests256IPsyvemoscuntosbitsenlas256IPsson
coincidentes,observaremosquesonlos24bitsqueconformanlostresprimeros
octetos(192comoprimerocteto,168comosegundoy1comotercero).Elcuarto
octetoeselvariable,ycomoseansus8bitsanosotrosnosdaigual(esindiferente
quesean1o0).SabemosquesilaIPacompararconlacondicinesdelaforma
192.168.1.xxxxxxxx,esepaquete,mejorsuIPdeorigenesdeunhostdeesared.As
pues,nosinteresaanalizarlos24primerosbitsdetodaIPdeorigen.Cmo
creamoselbinomioIPdereferenciamscarawildcard?Muyfcil.
LaIPdereferenciasaledeponeraceros(0)laristradex192.168.1.0
Lamscarawildcard(bajolacondicindequesus0secomparanysus1se
ignoran)sededuceenesecasodelintersdeanalizar,talycomohemos
dicho,lostresprimerosoctetos;elcuartoloignoramos;daigualelvalorque
traiga0.0.0.255
Elbinomioserdelaforma192.168.1.0 0.0.0.255
Unaformarpida(nosiemprefiablecuandolaIPdereferencianoesunaredo
subred)desacarelrangodeIPsohostsqueenfrentadosalawildcardvanatener
comoresultadolaIPdereferenciaessumarelvalorcrticoaunosdelamscaraal
octetocrticodelaIPdereferencia.Enelejemplo0+255rangodeIPs[1.0-1.255]
Porejemplo:dadalasiguienteACL,setratadededucirsipermitirobloquearel
trficodeunpaqueteconIPdeorigen198.51.100.3
access-list33permit198.51.100.580.0.0.63
Anlisis:laIPdereferencia198.51.100.58noesladeningunarednisubred.Sera
errneodeducirquelospaquetespermitidossernaquelloscuyaIPdeorigenest
enelrango[.58-.58+63=.121]errormuygrave.
6300111111los26bitsdelaIPdeorigendebenserigualesalos26bitsdela
IPdereferenciaparaqueelpaqueteseapermitido,esdecirtienenqueserdela
forma198.51.100.00ylaIPdeorigentieneesosmismos26bits,luegoelpaquetese
acepta(nosebloquea)
Otroejemplo:sealasentenciaaccess-list21permit192.0.2.110.0.0.15
QuharlasentenciaanteriorsievalaunpaqueteconIPdeorigen192.0.11.17?
lawildcardlevaaexigiratodaIPdeorigenquesus28bitsdemspesosean
igualesalos28bitsdemspesode192.0.2.11,ynoloson,yaque11es00001011y17
es00010001porloquedichopaqueteserdenegado.
Dichodeotromodo,vamosaproponertresformasdeentenderelbinomio:
1. LaIPdeorigendelpaqueteaevaluarquecumplalacondicintienequeser
delaforma192.168.1.algoignorarlosunosdelawildcard
2. Los24bitsdemspesodelaIPaevaluarconelfiltrotienenqueseriguales
alos24bitsdemspesodelaIPdereferenciaelrouterledicealpaquete
querecibe:Dametus24primerosbits(3cerosdelawildcard)paraversi
sonigualesalos24bitsdelaIPdereferencia
3. SilaIPdeorigenaevaluarlaenfrentamosconlawildcardyhacemosuna
especiedeANDinversa(cambiandoelparadigmadelamscaradesubred
yelresultadoeslaIPdereferencia,entonceslaIPdeorigenser
seleccionada;mejorelpaqueteconlaIPdeorigenserseleccionadopara
serdescartado(deny)oparapermitirleelpaso(permit).Cuandohablamos
delaANDinversaqueremosdecirquesiunoctetodelawildcardes0,va
apasareloctetoenterodelaIPdeorigen.Sies255eloctetodelaIPde
origenseconvierteen0.VamosaenfrentarlaIPdeorigen192.168.1.37conel
binomio
192.168.1.37
0.0.0.255
resultado 192.168.1.0
10ejemplosparaentenderlamscarawildcard
1/7
IPdereferencia192.168.1.0=resultado192.168.1.0?SI,luegoelpaqueteque
lleveesaIPdeorigenlobloquearemos(deny)opermitiremoseltrfico
(permit).LaACLnosigueensecuencialeyendomssentenciasdelaACL.Si
laIPdereferencia192.168.1.0noesiguala192.168.1.0seleelasiguiente
sentenciadelaACL
VamosaenfrentarlaIPdeorigen192.210.1.37conelbinomio
192.210.1.37
0.0.0.255
resultado 192.210.1.0
IPdereferencia192.168.1.0=resultado192.210.1.0?NO,luegopasamosala
siguienteinstruccinoentradadelaACLconfiguradapornosotros
2. Seleccionarcualquierhost(cualquierIPdeorigen).Esdecir,queseacualsealaIP
deorigen,alenfrentarlaconlawildcard,elresultadoseaigualalaIPdereferencia.
Elbinomioserdelaforma0.0.0.0 255.255.255.255
SedejaalalumnadoquededuzcaquecualquierIPqueseenfrenteaunawildcard
con32unos,elresultadoser32ceros,quesernigualesalos32cerosdelaIPde
referenciadelbinomio
3. SeleccionarexclusivamenteelhostcuyaIPes192.168.1.248(unaysolamente
unaIPdeorigenparticular)
Elbinomioserdelaforma192.168.1.248 0.0.0.0
4. Seleccionarloshostsdelasredes192.168.1.0/24-192.168.7.0/24.Apartirdeesta
actividad,daremoselbinomiosolucin.serelalumnadoelquelorazoney
propongaIPsdeorigenenfrentadasconlawildcardyversielresultadodeese
enfrentamientoesigualonoalaIPdereferencia
Elbinomioserdelaforma192.168.1.0 0.0.7.255
5. Seleccionarloshostsdelasubred192.168.1.128/25
Elbinomioserdelaforma192.168.1.128 0.0.0.127
6. Seleccionarloshosts192.168.1.1/24-192.168.1.7/24delared192.168.1.0/24
Elbinomioserdelaforma192.168.1.0 0.0.0.7
10ejemplosparaentenderlamscarawildcard
2/7
7. Seleccionarloshostsimparesdelared192.168.1.0/24
Elbinomioserdelaforma192.168.1.1 0.0.0.254
8. Seleccionarloshostsparesdelared192.168.1.0/24
Elbinomioserdelaforma192.168.1.0 0.0.0.254
9. Seleccionarloshostsresultantesdedividirlasubred192.168.1.192/64encuatro
partesyquedarnosconlaterceraparte
Elbinomioserdelaforma192.168.1.224 0.0.0.15
10. Seleccionarloshostsdelasubred172.16.64.0/19
Elbinomioserdelaforma172.16.64.0 0.0.31.255
2ejemplosextradiferentes:
ejemplo1extra:laIPdeorigen198.51.100.3seencuentraconlasiguientesentencia
ACL.Elpaquetesepermiteosedescarta?
access-list33permit198.51.100.580.0.0.63
lawildcardnosindicaqueatodaIPdeorigenselevanapedirsus26primerosbits
quesicoincidenconlos26primerosbitsdelaIPdereferencia192.51.100.58el
paquetesepermitir.Cmodebenseresos26primerosbits?delaforma
192.51.100.00(los2bitsdemspesode58son00)permitiremosIPsquese
encuentrendentrodelrango[192.51.100.0-192.51.100.63]
Notas:
Recomendamosalalumnadoqueintentehacerlassiguientesactividadesdela
presentacinpowerpointincrustadaenlapginaestticadelblogUT10:ACLs
Actividadesdelasdiapositivas:2830323849717375
10ejemplosparaentenderlamscarawildcard
3/7
EplogoACL
1. Consultelaimagen.EstaACLseaplicaaltrficosalientedelrouterenlainterfaz
queseconectadirectamentealservidor10.0.70.55.Unasolicituddeinformacin
provenientedeunapginawebseguraseenvadelhost10.0.55.23yestdestinada
alservidor10.0.70.55.Qulnea(entradaoinstruccin)delalistadeaccesohar
queelrouterejecuteunaaccin?
a. lalnea1
b. lalnea2
c. lalnea3
d. lalnea4
e. lalnea5
2. Consultelaimagen.Qusepuededeterminarapartirdeesteresultado?
a. ElrouternorecibiningnpaqueteTelnetde10.35.80.22destinadoa
10.23.77.101
b. LaACLnofunciona,porquenohaycoincidenciasparalalnea10.
c. LaACLsolosupervisaeltrficodestinadoa10.23.77.101desdetreshosts
especficos.
10ejemplosparaentenderlamscarawildcard
4/7
3. Consultelasiguienteimagen.SuponerquelasIPsdelasLANsonelpropionombre
delasLAN.Sehadecididoentreotras,implementarlassiguientespolticasde
seguridad:
a. alaLANdeservidoresnosevaapoderaccederdesdeINTERNET
b. laLAN1novaapoderaccederaningunaLANcorporativaniaInternet
Seleccionelarespuestacorrecta
a. Configuraraparalapolticaa.unaACLextendidaenrouterR,interface
se0/0deentradadeltipodenyipanyLANservidoresyconfiguraraparala
polticab.unaACLestndarenrouterR,interfazfa0/0deentradadeltipo
denyLAN1
b. Configuraraparalapolticaa.unaACLextendidaenrouterR,interface
se0/0deentradadeltipodenyipanyanyyconfiguraraparalapolticab.
unaACLestndarenrouterR,interfazfa0/0desalidadeltipodenyLAN1
c. Configuraraparalapolticaa.unaACLextendidaenrouterR,interfazse0/0
deentradadeltipodenyipanyLANservidoresyconfiguraraparalapoltica
b.unaACLestndarenrouterR,interfazfa0/0desalidadeltipodenyLAN1
10ejemplosparaentenderlamscarawildcard
5/7
4. Consultelaimagen.UnadministradorderedconfiguraunaACLparalimitarel
accesoalosservidoresdelaempresa,alojadosenlasubred10.0.10.0.Seleccionela
respuestacorrecta:
a. Seobservaunaincongruenciaconelprimerdenyylasubredreferenciadaen
elsiguientepermit
b. Sedeniegatodoeltrficoipaunrangodehostsysepermiteelaccesoweb
alasubred192.168.22.0/28
c. LaterceraentradadelaACLesladenominadapermisoimplcitopordefecto
a. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
192.168.10.1eqwww
ubicarlaACLenfa1/1desalida
b. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
192.168.10.1eqwww
ubicarlaACLenfa1/1deentrada
c. router0(config)#access-list101permittcp192.168.2.00.0.0.255host
192.168.10.1eq443
ubicarlaACLenfa1/1desalida
10ejemplosparaentenderlamscarawildcard
6/7