Máscaras de Wildcard en ACL
Máscaras de Wildcard en ACL

Máscaras de Wildcard en ACL

Máscaras de Wildcard en ACL
5

Resumen

Se explica la forma en que las ACL utilizan máscaras de comodín. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 4 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.

1. Descripción General de la Máscara Wildcard

En el tema anterior, aprendiste sobre el propósito de ACL. En este tema se explica cómo ACL utiliza máscaras wildcard. Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits de la dirección debe examinar para obtener una coincidencia. El protocolo de enrutamiento Open Shortest Path First (OSPF) también utiliza máscaras wildcard/comodín.

Una máscara wildcard es similar a una máscara de subred, ya que utiliza el proceso AND para identificar los bits de una dirección IPv4 que deben coincidir. Sin embargo, difieren en la forma en que coinciden binarios 1s y 0s. Sin embargo, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.

Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:

  • Máscara Wildcard bit 0 – Coincide con el valor de bit correspondiente en la dirección
  • Máscara Wildcard bit 1 – Ignora el valor de bit correspondiente en la dirección

La tabla enumera algunos ejemplos de máscaras comodín y lo que identificarían.

Máscara Wildcard Último Octeto (en binario) Significado (0 – coincidencia, 1 – ignorar)
0.0.0.0
00000000
Coinciden todos los octetos.
0.0.0.63
00111111
  • Coincide con los primeros tres octetos
  • Coincide con los dos bits más a la izquierda del último octeto
  • Ignora los últimos 6 bits de dirección
0.0.0.15
00001111
  • Coincide los primeros tres octetos
  • Coincide con los cuatro bits más a la izquierda del último octeto
  • Ignora los últimos 4 bits del último octeto
0.0.0.252
11111100
  • Coincide los primeros tres octetos
  • Ignora los seis bits más a la izquierda del último octeto
  • Coincide con los dos últimos bits
0.0.0.255
11111111
  • Coincide con los tres primeros octetos
  • Ignora el último octeto

2. Tipos de Máscara Wildcard


Usar máscaras wildcard tomará algo de práctica. Consulta los ejemplos para obtener información sobre cómo se utiliza la máscara wildcard  para filtrar el tráfico de un host, una subred y un rango de direcciones IPv4.

Haz clic en cada botón para ver cómo se utiliza la máscara wildcard en las ACL.

En este ejemplo, la máscara wildcard se utiliza para que coincida con una dirección IPv4 de host específica. Supongamos que ACL 10 necesita una ACE que solo permita el host con la dirección IPv4 192.168.1.1. Recuerda que «0» es igual a una coincidencia y «1» es igual a ignorar. Para que coincida con una dirección IPv4 de host específica, se requiere una máscara wildcard que consta de todos los ceros (es decir, 0.0.0.0).

La tabla muestra en binario, la dirección IPv4 del host, la máscara wildcard y la dirección IPv4 permitida.

La máscara de wildcard 0.0.0.0 estipula que cada bit debe coincidir exactamente. Por lo tanto, cuando se procesa el ACE, la máscara wildcard permitirá sólo la dirección 192.168.1.1. El ACE resultante en ACL 10 sería access-list 10 permit 192.168.1.1 0.0.0.0.

. Decimal Binario
Dirección IPv4 192.168.1.1
11000000.10101000.00000001.00000001
Máscara Wildcard 0.0.0.0
00000000.00000000.00000000.00000000
Dirección IPv4 Permitida 192.168.1.1
11000000.10101000.00000001.00000001

En este ejemplo, ACL 10 necesita una ACE que permita todos los hosts de la red 192.168.1.0/24. La máscara wildcard 0.0.0.255 estipula que los tres primeros octetos deben coincidir exactamente, pero el cuarto octeto no lo hace.

La tabla muestra en binario, la dirección IPv4 del host, la máscara wildcard y las direcciones IPv4 permitidas.

Cuando se procesa, la máscara wildcard 0.0.0.255 permite todos los hosts de la red 192.168.1.0/24. El ACE resultante en ACL 10 sería access-list 10 permit 192.168.1.0 0.0.0.255.

. Decimal Binario
Dirección IPv4 192.168.1.1
11000000.10101000.00000001.00000001
Máscara Wildcard 0.0.0.255
00000000.00000000.00000000.11111111
Dirección IPv4 Permitida 192.168.1.0/24
11000000.10101000.00000001.00000000

En este ejemplo, ACL 10 necesita una ACE que permita todos los hosts de las redes 192.168.16.0/24, 192.168.17.0/24,..., 192.168.31.0/24. La máscara wildcard 0.0.15.255 filtraría correctamente ese rango de direcciones.

La tabla muestra en binario la dirección IPv4 del host, la máscara wildcard y las direcciones IPv4 permitidas.

Los bits de máscara wildcard resaltados identifican qué bits de la dirección IPv4 deben coincidir. Cuando se procesa, la máscara wildcard 0.0.15.255 permite todos los hosts de las redes 192.168.16.0/24 a 192.168.31.0/24. El ACE resultante en ACL 10 sería access-list 10 permit 192.168.16.0 0.0.15.255.

. Decimal Binario
Dirección IPv4 192.168.16.0
11000000.10101000.00010000.00000000
Máscara Wildcard 0.0.15.255
00000000.00000000.00001111.11111111
Dirección IPv4 Permitida 192.168.16.0/24
to
192.168.31.0/24
11000000.10101000.00010000.00000000 

11000000.10101000.00011111.00000000

3. Cálculo de Máscara Wildcard

Asume que deseas un ACE en ACL 10 para permitir el acceso a todos los usuarios en la red 192.168.3.0/24. Para calcular la máscara comodín, resta la máscara de subred (es decir, 255.255.255.0) de 255.255.255.255, como se muestra en la tabla.

El resultado genera la máscara wildcard 0.0.0.255. Por lo tanto, la ACE sería access-list 10 permit 192.168.3.0 0.0.0.255.

Valor inicial
  255.255.255.255
Sustraer la máscara de subred
- 255.255.255.  0
Máscara Wildcard Resultante
 0.  0.  0.255

En este ejemplo, asume que deseas un ACE en ACL 10 para permitir el acceso a la red a los 14 usuarios en la subred 192.168.3.32/28. Resta la subred (es decir, 255.255.255.240) de 255.255.255.255, como se muestra en la tabla.

Esta solución produce la máscara wildcard 0.0.0.15. Por lo tanto, la ACE sería access-list 10 permit 192.168.3.32 0.0.0.15.

Valor inicial
 255.255.255.255
Sustraer la máscara de subred
- 255.255.255.240
Máscara Wildcard Resultante
 0.  0.  0. 15

En este ejemplo, asume que necesitabas una ACE en ACL 10 para permitir sólo las redes 192.168.10.0 y 192.168.11.0. Estas dos redes se pueden resumir como 192.168.10.0/23, que es una máscara de subred de 255.255.254.0. Nuevamente, restarás la máscara de subred 255.255.254.0 de 255.255.255.255, como se muestra en la tabla.

Esta solución produce la máscara wildcard 0.0.1.255. Por lo tanto, la ACE sería access-list 10 permit 192.168.10.0 0.0.1.255.

Valor inicial
  255.255.255.255
Sustraer la máscara de subred
- 255.255.254.  0
Máscara Wildcard Resultante
    0.  0.  1.255

Considera un ejemplo en el que necesitas un número de ACL 10 para que coincida con las redes en el rango entre 192.168.16.0/24 y 192.168.31.0/24. Este rango de red podría resumirse como 192.168.16.0/20, que es una máscara de subred de 255.255.240.0. Por lo tanto, resta la máscara de subred 255.255.240.0 de 255.255.255.255, como se muestra en la tabla.

Esta solución produce la máscara wildcard 0.0.15.255. Por lo tanto, la ACE sería access-list 10 permit 192.168.16.0 0.0.15.255.

Valor inicial
 255.255.255.255
Sustraer la máscara de subred
- 255.255.240.  0
Máscara Wildcard Resultante
 0.  0. 15.255

4. Palabras Clave de la Máscara Wildcard

Trabajar con representaciones decimales de los bits binarios de máscaras wildcard puede ser tedioso. Para simplificar esta tarea, Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del enmascaramiento de wildcard. Las palabras clave reducen las pulsaciones de teclas ACL y facilitan la lectura del ACE.

Las dos palabras clave son:

  • host – esta palabra clave sustituye a la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
  • any – esta palabra clave sustituye a la máscara 255.255.255.255. Esta máscara establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección.

Por ejemplo, en la salida del comando, se configuran dos ACL. La ACL 10 ACE permite sólo el host 192.168.10.10 y el ACL 11 ACE permite todos los hosts.

R1(config)# access-list 10 permit 192.168.10.10 0.0.0.0 
R1(config)# access-list 11 permit 0.0.0.0 255.255.255.255
R1(config)#

Alternativamente, las palabras clave host y any podría haber sido utilizado para reemplazar la salida resaltada.

Los siguientes comandos cumplen la misma tarea que los comandos anteriores.

R1(config)# access-list 10 permit host 192.168.10.10 
R1(config)# access-list 11 permit any
R1(config)#

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.