Wilcard en las ACL
noviembre 2, 2019
Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una dirección IP individual. La comparación de direcciones tiene lugar usando máscaras que actúan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la dirección IP que han de coincidir explícitamente y cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de direcciones IP utiliza los números 1 y 0 para referirse a los bits de la dirección.
-Un bit de máscara wildcard 0 significa “comprobar el valor correspondiente”
-Un bit de mascara wildcard 1 significa “No comprobar (ignorar) el valor del bit correspondiente”
Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.
Host = mascara comodín 0.0.0.0, utilizada para un host especifico
Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred
En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred. Cualquier dirección de host será leída como dirección de red o subred.
Dirección IP |
172 |
16 |
32 |
0 |
En binarios |
10101100 |
00010000 |
00100000 |
00000000 |
Mascara de red |
11111111 |
11111111 |
11100000 | 00000000 |
wildcard |
00000000 |
00000000 |
00011111 | 11111111 |
Resultado |
Se toman en cuenta 8 bits | Se toman en cuenta 8 bits | Se toman en cuenta 3 bits se ignoran 5 | ignorados |
Las Wilcard también permiten identificar rangos simplificando la cantidad de comandos a introducir, en este ejemplo la wildcard debe identificar el rango de subredes entre la 172.16.16.0/24 y la 172.16.31.0/24
Trabaje con el tercer octeto, se debe trabajar con el rango entra 16 y 31:
16 000 1 0000
17 000 1 0001
18 000 1 0010
19 000 1 0011
20 000 1 0100
21 000 1 0101
22 000 1 0110
. . . . . . . . . . . .
30 000 1 1110
31 000 1 1111
El bit común es el correspondiente al valor decimal 16,
Los bits a ignorar junto con los del cuarto octeto estarán en 1 [00001111.11111111 = 15.255]
por lo tanto la Wilcard será:
172.16.16.0 0.0.15.255
- Publicado en : General
- Autor : Ernesto
Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»
Estamos ahora en el curso de la CCNA con ello y la verdad que al principio es confuso pero a base de probar, este post y otro anterior que ya he leído, me ha quedado claro. Gracias 😉
Hola:
Gura a que otra pagina entrastes?
Gracias
Por cierto, muy buena esta pagina,
Gracias.
Muchas gracias, ahora lo veo mas claro
me quedo claro pero seria bueno que dejaras mas ejercicios, asi tendria la certeza de que lo entendi completamente….
Gracias.
BUENAS TARDES
maestro requiero que me aclare esta duda:
ejemplo
ip de inicio : 192.168.1.69
ip final: 192.168.1.90
si utilizo su metodo seria de la siguiente manera:
x.x.x.69: 01 000101
x.x.x.70: 01 000110
x.x.x.71: 01 000111
.
.
.
x.x.x.90: 01 011100
el bit comun seria 01, entonces el rango seria 127, al colocar todos los bits restantes en 1. este valo no excede lo solicitado de 69 a 90
quedando la mascara 0.0.0.127. Cual seria la solucion este caso o que metodo aplico.
Gracias Por ayudarme tanto.
Rafa, ya no me llames maestro!. A ver si te entiendo, buscas una mascara comodin que ignore a los host???
el bits comun es 010 (un cero) es decir el tercero de izquierda a derecha por lo tanto la wildcar es 0.0.0.31
un saludo
Estimado:
En el ejemplo que das de las subredes 172.16.16.0/24 y la 172.16.31.0/24 el wildcard no es 0.0.31.255 sino 0.0.15.255. Tomaste los 5 bits del tercer octeto en vez de los 4. La confusión surge a raíz de que el último bit la subred tambien es 1.
Saludos!!!
Estimado Marcelo Luna, efectivamente tienes razon, ya esta cambiado!.
Un saludo
buenas tardes queria saber cual seria el rango a utilizar, en una prueba que estoy realizando, ya que lo comprobe y no se cumple los valores de la ip vs las mascara de wildcard.
172.16.08.0 hasta 172.16.20.0
8: 00001000
9: 00001001
10. 00001010
11. 00001011
12. 00001100
13. 00001101
14 00001110
15 00001111
16. 00010000
17. 00010001
18. 00010010
19. 00010011
20. 00010100
el bit mas significativo es el 5 bits que esta entre los rango 8 al 15, despues existe otro patron que se repite y es 16 a 20 en el 4 bit.
cual debe ser el rango a utilizar en la mascara wildcard. cual es el bit significativo a tomar en cuenta . gracias
me podrias ayudar es que no le entiendo…
You have an IP address and wildcard mask of 10.0.20.5 255.255.0.0. Which of the following IP addresses will be affected by this access list? (Choose all that apply.)
A. 10.0.0.10
B. 192.168.20.5
C. 172.30.20.5
D. 10.2.1.1
Rioyin, donde esta la wildcard y la ACL a que hace referencia la pregunta???
Hola tengo un problema tengo la siguiente red 192.168.2.0 y deseo denegar los 37 primeros ips, me explicarian como hacerlo porfavor
de una manera mas simple:
172.16.31.0
172.16.16.0
_____________
0.0.15.255
se resta
saludos
para sacar mas facilmente las wildcard solo debes saber su mascara por defecto que le corresponde y cuanto falta para llegar a 255 en cada octeto y colocas los datos invertidos
eje:
255.255.255.252
0 . 0 . 0 . 3
hola, quien fuera tan amable de explicarme, este problema, resulta que estoy configuando una acl en paket 5.2
es lo siguiente.
desde la red 192.168.2.0/24 no quiero que hagan ping a la red 172.25.19.0/16 pero solo en el rango desde el host 22 al 30
yo ocupe la wilkad deny icmp192.168.2.0 0.0.0 172.25.16.22 0.0.0.7
y luego la 30 con 0.0.0.0
pero cuando reviso el sh accces-list me dice que tengo 172.25.16.16 0.0.0.7 no me toma el 22 por que ?
gracias
Si tengo la direccion 172.16.0.0 y tengo que bloquear el servicio SMTP del rango 172.16.1.0 al 172.16.2.255 excepto 172.16.2.251. ¿ como configuro el access list para bloquear y a la vez, permitir el acceso a una de ellas ?.
access-list 101 permit ip host 172.16.2.251 10.201.120.0 0.0.0.255 snmp
access-list 101 denny ip 172.16.252.0 0.0.3.255 10.201.120.0 0.0.0.255 snmp
access-list 101 permit any
Me pueden decir si la solucion del ejercicio es correcta ? o como sería ?
Aclarando en el ejercicio anterior que la direccion destino es la red 10.201.120.0 255.255.255.0.
Muchas gracias.
hola , mi pregunta es la siguiente con respecto a eigrp
de donde se obtienen las ip para network