Las máscaras wildcard se utilizan para especificar un rango de direcciones de red. Se suelen utilizar con protocolos de enrutamiento (como OSPF) y listas de control de acceso.
Al igual que una máscara de subred, una máscara wildcard tiene 32 bits. Actúa como una máscara de subred invertida, pero con la máscara wildcard, los bits cero indican que la posición de bit correspondiente debe coincidir con la misma posición de bit en la dirección IP. Los bits uno indican que la posición de bit correspondiente no tiene que coincidir con la posición de bit en la dirección IP.
Tabla de Contenido
Definición de Máscara Wildcard
La máscara wildcard (comodín) es un sistema de codificación utilizado con las listas de control de acceso (ACL) para identificar las direcciones IP. Una entrada de línea en la lista contiene un comando, una dirección IP y una máscara que hace referencia a la dirección IP. Aunque los comandos de las listas de control acceso son crípticos, una traducción al español de una entrada de línea podría ser “denegar la entrada a paquetes con estas direcciones“.
La máscara es un patrón binario que contiene el mismo número de bits que la dirección IP. Cada bit 0 en la máscara significa que el bit correspondiente en la dirección IP debe coincidir exactamente. Un 1 indica que el bit no tiene que coincidir y puede ser ignorado. Por ejemplo, para estipular una dirección IP específica, esa dirección iría acompañada de una máscara comodín de 0.0.0.0. Para referirse a todos los paquetes con direcciones de clase A en el rango 10.10.x.x, la máscara comodín sería 0.0.255.255.
Lo opuesto a la máscara de subred
Mientras que un bit 0 en una máscara wildcard significa “coincide con los bits”, un 0 en una máscara de subred significa “no coincidir”. Así, una máscara wildcard de 0.0.0.255 es el equivalente a una máscara de subred de 255.255.255.0.
Entendiendo la Máscara Wildcard
La máscara existente para una dirección IP surgió de la división por clases de las direcciones, en los primeros días de la era IP:
Clase A: 8 bits para el número de red, 24 bits para el número de host
Clase B: 16 bits por red y 16 bits por host
Clase C: 24 bits por red 8 bits por hostCuando se hizo demasiado dispendioso dividir las direcciones de esta manera, se introdujo una máscara, que es un campo de 32 bits (el mismo número de bits que componen una dirección IP) de unos que van desde el principio del campo, seguidos de ceros consecutivos. Los unos (1) definen los bits de la dirección IP que forman el número de red, los ceros definen los bits de la dirección que forman el número de host.
Dirección IP, decimal: 10. 10. 0. 1
Dirección IP, binaria: 00001010.00001010.00000000.00000001
Máscara, binario: 1111111111.11111111.11111100.00000000
Máscara, decimal: 255. 255. 252. 0Representar una máscara de esta manera es bastante coherente con el término máscara de bits, es decir, los unos y los ceros definen acciones en bits específicos del número de origen, pero no se correlaciona bien con el formato de la dirección IP: el número de red siempre se define por bits al principio, el número de host por bits al final. Por lo tanto, presentar una máscara como un campo de 32 bits es redundante. Para identificar de forma única una máscara, sólo se puede especificar el número de unidades consecutivas desde el principio de la dirección IP de 0 a 32 – notación de prefijo, normalmente escrita a través de una fracción después de la dirección IP: por ejemplo, arriba 10.10.0.1/22 – número de red de 22 bits y 32-22=número de host de 10 bits. Si se trata de una dirección IPv6, sólo se define la entrada del prefijo de la máscara/dirección – 2001:d8:a15e::1/48
Ahora representamos la máscara de forma que los unos definen los bits de la dirección IP que forman el número de host, y los ceros definen los bits que forman el número de red, el resultado es una máscara inversa (wildcard):
Dirección IP, decimal: 10. 10. 0. 1/22
Dirección IP, binario: 00001010.00001010.00000000.00000001
Máscara, binario: 1111111111.11111111.11111100.00000000
Máscara inversa (wildcard), binaria: 00000000.00000000.00000011.111111
Máscara, decimal: 255. 255. 252. 0
Máscara inversa, decimal: 0. 0. 3. 255Esto es lo que puede hacer cualquier, o casi cualquier, calculadora de red; no es aritmética binaria, o más bien no es aritmética, sino manipulación básica de cómo convertir números entre sistemas numéricos.
Cómo Hallar la Máscara Wildcard
La obtención de la máscara wildcard (inversa) a partir de la directa, y la acción inversa se realiza invirtiendo el campo de bits – sustituyendo el 0 por el 1 y el 1 por el 0. Si se utiliza la representación decimal, la obtención de la máscara inversa se calcula de la siguiente manera: 255 menos el número correspondiente al valor del octeto en la máscara directa, para el ejemplo anterior:
255.255.255.255
- 255.255.252. 0
= 0. 0. 3.255La conversión de inversa a directa también se realiza restando a 255 el valor del octeto correspondiente a la máscara inversa:
255.255.255.255
- 0. 0. 3.255
= 255.255.252. 0Una máscara “inversa” no tiene por qué contener unos o ceros, y los unos no son una simple designación de un área de host en una dirección IP. Los unos son una designación de los bits de la dirección IP que pueden cambiarse cuando se comprueban las condiciones, y los ceros representan los bits que no se cambian. De allí el término comodín (wildcard).
Aplicación de Máscara Wildcard: ACL
El ámbito de aplicación de la máscara wildcard son las operaciones de direcciones IP condicionales. Estas áreas incluyen, en particular, las listas de control acceso (ACL) – permite crear no sólo condiciones de host de esta red, sino reglas mucho más flexibles y la definición de redes, así como en la configuración de los protocolos de enrutamiento, OSPF por ejemplo – permite crear reglas compactas para anunciar redes no contiguas.
Por ejemplo, si necesitas crear una lista de acceso que deniegue todo lo que provenga de la red 172.16.56, pero que permita el resto del tráfico, entonces, la sentencia (para dispositivos Cisco) sería:
#deny 172.16.56.0 0.0.0.255Observa la máscara wildcard. La máscara wildcard es 0.0.0.255. Con la máscara wildcard, la dirección IP no tiene que coincidir, puede ser cualquier cosa.
Máscaras Wildcard Especiales
Hay dos máscaras wildcard especiales: 0.0.0.0 y 255.255.255.255. Una máscara wildcard de 0.0.0.0 indica al router que debe coincidir con los 32 bits de la dirección. Esta máscara wildcard se llama máscara de host. Esta máscara wildcard se utiliza para coincidir con un solo host. Por ejemplo, si deseas permitir o denegar un host específico de un segmento, puedes utilizar esta máscara wildcard para que coincida con la dirección IP de ese host.
La siguiente sentencia muestra cómo se utiliza esta máscara wildcard.
#deny 10.0.0.1 0.0.0.0La declaración anterior sólo denegará los paquetes que se originen en el host 10.0.0.1.
Una máscara wildcard de 255.255.255.255 indica al router que ignore los 32 bits de la dirección y coincida con todos los paquetes. Esta máscara comodín se utiliza para que coincida con todos los paquetes. Dado que esta máscara comodín coincide con todos los paquetes, la dirección IP que introduzca con esta máscara no importa.
Técnicamente, puedes introducir esta máscara wildcard con cualquier dirección IP, pero normalmente se utiliza con la dirección IP 0.0.0.0. Los administradores utilizan la siguiente dirección IP y máscara wildcard para hacer coincidir todos los paquetes entrantes o salientes.
0.0.0.0 255.255.255.255Eso es todo por ahora. Puedes revisar las reglas generales y las directrices de la configuración de ACLs.
Tabla de Máscaras de Subred y Máscara Wildcard
| La máscara de subred | Prefijo | Número de direcciones | La inversa de la máscara (Wildcard mask) |
|---|---|---|---|
| 255.255.255.255 | /32 | 1 | 0.0.0.0 |
| 255.255.255.254 | /31 | 2 | 0.0.0.1 |
| 255.255.255.252 | /30 | 4 | 0.0.0.3 |
| 255.255.255.248 | /29 | 8 | 0.0.0.7 |
| 255.255.255.240 | /28 | 16 | 0.0.0.15 |
| 255.255.255.224 | /27 | 32 | 0.0.0.31 |
| 255.255.255.192 | /26 | 64 | 0.0.0.63 |
| 255.255.255.128 | /25 | 128 | 0.0.0.127 |
| 255.255.255.0 | /24 | 256 | 0.0.0.255 |
| 255.255.254.0 | /23 | 512 | 0.0.1.255 |
| 255.255.252.0 | /22 | 1024 | 0.0.3.255 |
| 255.255.248.0 | /21 | 2048 | 0.0.7.255 |
| 255.255.240.0 | /20 | 4096 | 0.0.15.255 |
| 255.255.224.0 | /19 | 8192 | 0.0.31.255 |
| 255.255.192.0 | /18 | 16384 | 0.0.63.255 |
| 255.255.128.0 | /17 | 32768 | 0.0.127.255 |
| 255.255.0.0 | /16 | 65536 | 0.0.255.255 |
| 255.254.0.0 | /15 | 131072 | 0.1.255.255 |
| 255.252.0.0 | /14 | 262144 | 0.3.255.255 |
| 255.248.0.0 | /13 | 524288 | 0.7.255.255 |
| 255.240.0.0 | /12 | 1048576 | 0.15.255.255 |
| 255.224.0.0 | /11 | 2097152 | 0.31.255.255 |
| 255.192.0.0 | /10 | 4194304 | 0.63.255.255 |
| 255.128.0.0 | /9 | 8388608 | 0.127.255.255 |
| 255.0.0.0 | /8 | 16777216 | 0.255.255.255 |
| 254.0.0.0 | /7 | 33554432 | 1.255.255.255 |
| 252.0.0.0 | /6 | 67108864 | 3.255.255.255 |
| 248.0.0.0 | /5 | 134217728 | 7.255.255.255 |
| 240.0.0.0 | /4 | 268435456 | 15.255.255.255 |
| 224.0.0.0 | /3 | 536870912 | 31.255.255.255 |
| 192.0.0.0 | /2 | 1073741824 | 63.255.255.255 |
| 128.0.0.0 | /1 | 2147483648 | 127.255.255.255 |
