jump to navigation

Wilcard en las ACL

noviembre 2, 2019

Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una dirección IP individual. La comparación de direcciones tiene lugar usando máscaras que actúan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la dirección IP que han de coincidir explí­citamente y cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de direcciones IP utiliza los números 1 y 0 para referirse a los bits de la dirección.

-Un bit de máscara wildcard 0 significa “comprobar el valor correspondiente”
-Un bit de mascara wildcard 1 significa “No comprobar (ignorar) el valor del bit correspondiente”

Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.

Host = mascara comodí­n 0.0.0.0, utilizada para un host especifico
Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred

En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred. Cualquier dirección de host será leí­da como dirección de red o subred.

Dirección IP
  172
16
32
0
En binarios
 10101100
00010000
00100000
00000000
Mascara de red
  11111111
11111111
11100000 00000000
wildcard
  00000000
00000000
00011111 11111111
Resultado
Se toman en cuenta 8 bits Se toman en cuenta 8 bits Se toman en cuenta 3 bits se ignoran 5 ignorados

Las Wilcard también permiten identificar rangos simplificando la cantidad de comandos a introducir, en este ejemplo la wildcard debe identificar el rango de subredes entre la 172.16.16.0/24 y la 172.16.31.0/24

Trabaje con el tercer octeto, se debe trabajar con el rango entra 16 y 31:

16  000 1 0000
17  000 1 0001
18  000 1 0010
19  000 1 0011
20  000 1 0100
21  000 1 0101
22  000 1 0110
. . . . . . . . . . . .
30  000 1 1110
31  000 1 1111


El bit común es el correspondiente al valor decimal 16,


Los bits a ignorar junto con los del cuarto octeto estarán en 1 [00001111.11111111 = 15.255]

por lo tanto la Wilcard será:

172.16.16.0 0.0.15.255




Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.





Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. Gura - noviembre 2, 2006

Estamos ahora en el curso de la CCNA con ello y la verdad que al principio es confuso pero a base de probar, este post y otro anterior que ya he leí­do, me ha quedado claro. Gracias 😉

2. Eduardo Llanos - noviembre 11, 2006

Hola:
Gura a que otra pagina entrastes?

Gracias

3. Eduardo Llanos - noviembre 11, 2006

Por cierto, muy buena esta pagina,

Gracias.

4. emilio - julio 28, 2007

Muchas gracias, ahora lo veo mas claro

5. Juan carlos polo - agosto 8, 2007

me quedo claro pero seria bueno que dejaras mas ejercicios, asi tendria la certeza de que lo entendi completamente….
Gracias.

6. RAFAEL MARTINEZ - mayo 12, 2008

BUENAS TARDES

maestro requiero que me aclare esta duda:

ejemplo

ip de inicio : 192.168.1.69
ip final: 192.168.1.90

si utilizo su metodo seria de la siguiente manera:

x.x.x.69: 01 000101
x.x.x.70: 01 000110
x.x.x.71: 01 000111
.
.
.
x.x.x.90: 01 011100
el bit comun seria 01, entonces el rango seria 127, al colocar todos los bits restantes en 1. este valo no excede lo solicitado de 69 a 90

quedando la mascara 0.0.0.127. Cual seria la solucion este caso o que metodo aplico.

Gracias Por ayudarme tanto.

7. Ernesto Ariganello - mayo 12, 2008

Rafa, ya no me llames maestro!. A ver si te entiendo, buscas una mascara comodin que ignore a los host???

el bits comun es 010 (un cero) es decir el tercero de izquierda a derecha por lo tanto la wildcar es 0.0.0.31

un saludo

8. Marcelo Luna - junio 4, 2008

Estimado:
En el ejemplo que das de las subredes 172.16.16.0/24 y la 172.16.31.0/24 el wildcard no es 0.0.31.255 sino 0.0.15.255. Tomaste los 5 bits del tercer octeto en vez de los 4. La confusión surge a raí­z de que el último bit la subred tambien es 1.

Saludos!!!

9. Ernesto Ariganello - junio 5, 2008

Estimado Marcelo Luna, efectivamente tienes razon, ya esta cambiado!.
Un saludo

10. eduardo martinez - octubre 14, 2008

buenas tardes queria saber cual seria el rango a utilizar, en una prueba que estoy realizando, ya que lo comprobe y no se cumple los valores de la ip vs las mascara de wildcard.

172.16.08.0 hasta 172.16.20.0
8: 00001000
9: 00001001
10. 00001010
11. 00001011
12. 00001100
13. 00001101
14 00001110
15 00001111
16. 00010000
17. 00010001
18. 00010010
19. 00010011
20. 00010100
el bit mas significativo es el 5 bits que esta entre los rango 8 al 15, despues existe otro patron que se repite y es 16 a 20 en el 4 bit.

cual debe ser el rango a utilizar en la mascara wildcard. cual es el bit significativo a tomar en cuenta . gracias

11. rioyin - octubre 22, 2008

me podrias ayudar es que no le entiendo…

You have an IP address and wildcard mask of 10.0.20.5 255.255.0.0. Which of the following IP addresses will be affected by this access list? (Choose all that apply.)
A. 10.0.0.10
B. 192.168.20.5
C. 172.30.20.5
D. 10.2.1.1

12. Ernesto Ariganello - octubre 22, 2008

Rioyin, donde esta la wildcard y la ACL a que hace referencia la pregunta???

13. diego - noviembre 26, 2008

Hola tengo un problema tengo la siguiente red 192.168.2.0 y deseo denegar los 37 primeros ips, me explicarian como hacerlo porfavor

14. Julio Galleguillos - diciembre 8, 2008

de una manera mas simple:

172.16.31.0
172.16.16.0
_____________
0.0.15.255

se resta

saludos

15. daniel - agosto 4, 2009

para sacar mas facilmente las wildcard solo debes saber su mascara por defecto que le corresponde y cuanto falta para llegar a 255 en cada octeto y colocas los datos invertidos
eje:
255.255.255.252
0 . 0 . 0 . 3

16. Eduardo - octubre 8, 2009

hola, quien fuera tan amable de explicarme, este problema, resulta que estoy configuando una acl en paket 5.2

es lo siguiente.
desde la red 192.168.2.0/24 no quiero que hagan ping a la red 172.25.19.0/16 pero solo en el rango desde el host 22 al 30

yo ocupe la wilkad deny icmp192.168.2.0 0.0.0 172.25.16.22 0.0.0.7

y luego la 30 con 0.0.0.0

pero cuando reviso el sh accces-list me dice que tengo 172.25.16.16 0.0.0.7 no me toma el 22 por que ?
gracias

17. Toño. - noviembre 30, 2009

Si tengo la direccion 172.16.0.0 y tengo que bloquear el servicio SMTP del rango 172.16.1.0 al 172.16.2.255 excepto 172.16.2.251. ¿ como configuro el access list para bloquear y a la vez, permitir el acceso a una de ellas ?.

access-list 101 permit ip host 172.16.2.251 10.201.120.0 0.0.0.255 snmp
access-list 101 denny ip 172.16.252.0 0.0.3.255 10.201.120.0 0.0.0.255 snmp
access-list 101 permit any

Me pueden decir si la solucion del ejercicio es correcta ? o como serí­a ?

18. Toño. - noviembre 30, 2009

Aclarando en el ejercicio anterior que la direccion destino es la red 10.201.120.0 255.255.255.0.

Muchas gracias.

19. seba - noviembre 29, 2011

hola , mi pregunta es la siguiente con respecto a eigrp
de donde se obtienen las ip para network




Hospedado en el Data Center de Tecnocratica