▷ Máscaras Wildcard em ACLs

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 14 do curso Cisco CCNA 3, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Tabla de Contenido

Visão geral da máscara curinga

No tópico anterior, você aprendeu sobre o propósito da ACL. Este tópico explica como o ACL usa máscaras curinga. Um IPv4 ACE usa uma máscara curinga de 32 bits para determinar quais bits do endereço examinar em busca de uma correspondência. Máscaras curinga também são usadas pelo protocolo de roteamento Open Shortest Path First (OSPF).

Uma máscara curinga é semelhante a uma máscara de sub-rede, pois usa o processo ANDing para identificar quais bits em um endereço IPv4 devem corresponder. No entanto, eles diferem na maneira como correspondem aos 1s e 0s binários. Ao contrário de uma máscara de sub-rede, em que o binário 1 é igual a uma correspondência e o binário 0 não é uma correspondência, em uma máscara curinga, o inverso é verdadeiro.

As máscaras curinga usam as seguintes regras para corresponder a 1s e 0s binários:

Máscara curinga bit 0 – Corresponde ao valor do bit correspondente no endereço
Máscara curinga bit 1 – Ignora o valor do bit correspondente no endereço

A tabela lista alguns exemplos de máscaras curinga e o que elas identificariam.

Máscara curinga	Último octeto (em binário)	Significado (0 – correspondência, 1 – ignorar)
0.0.0.0	00000000	Corresponde a todos os octetos.
0.0.0.63	00111111	Corresponde aos três primeiros octetos; corresponde aos dois bits mais à esquerda do último octeto; ignora os últimos 6 bits
0.0.0.15	00001111	Corresponde aos três primeiros octetos Corresponde aos quatro bits mais à esquerda dos últimos octetos Ignora os últimos 4 bits do último octeto
0.0.0.252	11111100	Corresponde aos três primeiros octetos Ignora os seis bits mais à esquerda dos últimos octetos Corresponde aos dois últimos bits
0.0.0.255	11111111	Corresponde aos três primeiros octetos Ignora o último octeto

Tipos de máscara curinga

Usar máscaras curinga requer alguma prática. Consulte os exemplos para aprender como a máscara curinga é usada para filtrar o tráfego para um host, uma sub-rede e um intervalo de endereços IPv4.

Clique em cada botão para ver como a máscara curinga é usada nas ACLs.

Neste exemplo, a máscara curinga é usada para corresponder a um endereço IPv4 de host específico. Suponha que o ACL 10 precise de um ACE que permita apenas o host com endereço IPv4 192.168.1.1. Lembre-se de que “0” é igual a uma correspondência e “1” é igual a ignorar. Para corresponder a um endereço IPv4 de host específico, uma máscara curinga composta apenas por zeros (ou seja, 0.0.0.0) é necessária.

A tabela lista em binário, o endereço IPv4 do host, a máscara curinga e o endereço IPv4 permitido.

A máscara curinga 0.0.0.0 estipula que cada bit deve corresponder exatamente. Portanto, quando a ACE é processada, a máscara curinga permitirá apenas o endereço 192.168.1.1. A ACE resultante no ACL 10 seria access-list 10 permit 192.168.1.1 0.0.0.0.

Neste exemplo, o ACL 10 precisa de um ACE que permite todos os hosts na rede 192.168.1.0/24. A máscara curinga 0.0.0.255 estipula que os primeiros três octetos devem corresponder exatamente, mas o quarto octeto não.

A tabela lista em binário, o endereço IPv4 do host, a máscara curinga e os endereços IPv4 permitidos.

Quando processada, a máscara curinga 0.0.0.255 permite todos os hosts na rede 192.168.1.0/24. A ACE resultante na ACL 10 seria access-list 10 permit 192.168.16.0 0.0.15.255.

Neste exemplo, o ACL 10 precisa de um ACE que permite todos os hosts nas redes 192.168.16.0/24, 192.168.17.0/24,…, 192.168.31.0/24. A máscara curinga 0.0.15.255 filtraria corretamente esse intervalo de endereços.

A tabela lista em binário o endereço IPv4 do host, a máscara curinga e os endereços IPv4 permitidos.

Os bits de máscara curinga destacados identificam quais bits do endereço IPv4 devem corresponder. Quando processada, a máscara curinga 0.0.15.255 permite todos os hosts nas redes 192.168.16.0/24 a 192.168.31.0/24. A ACE resultante no ACL 10 seria access-list 10 permit 192.168.16.0 0.0.15.255.

Cálculo de máscara curinga

Suponha que você queira um ACE no ACL 10 para permitir o acesso a todos os usuários na rede 192.168.3.0/24. Para calcular a máscara curinga, subtraia a máscara de sub-rede (ou seja, 255.255.255.0) de 255.255.255.255, conforme mostrado na tabela.

A solução produz a máscara curinga 0.0.0.255. Portanto, a ACE seria access-list 10 permit 192.168.3.0 0.0.0.255.

Valor inicial	255.255.255.255
Subtraia a máscara de sub-rede	- 255.255.255.0
Máscara curinga resultante	0. 0. 0.255

Neste exemplo, suponha que você queira uma ACE na ACL 10 para permitir o acesso à rede para os 14 usuários na sub-rede 192.168.3.32/28. Subtraia a sub-rede (ou seja, 255.255.255.240) de 255.255.255.255, conforme mostrado na tabela.

Esta solução produz a máscara curinga 0.0.0.15. Portanto, a ACE seria access-list 10 permit 192.168.3.32 0.0.0.15.

Valor inicial	255.255.255.255
Subtraia a máscara de sub-rede	- 255.255.255.240
Máscara curinga resultante	0. 0. 0.15

Neste exemplo, suponha que você precise de um ACE no ACL 10 para permitir apenas as redes 192.168.10.0 e 192.168.11.0. Essas duas redes podem ser resumidas como 192.168.10.0/23, que é uma máscara de sub-rede de 255.255.254.0. Novamente, você subtrai a máscara de sub-rede 255.255.254.0 de 255.255.255.255, conforme mostrado na tabela.

Esta solução produz a máscara curinga 0.0.1.255. Portanto, a ACE seria access-list 10 permit 192.168.10.0 0.0.1.255.

Valor inicial	255.255.255.255
Subtraia a máscara de sub-rede	- 255.255.254.0
Máscara curinga resultante	0. 0. 1.255

Considere um exemplo em que você precisa de uma ACL número 10 para combinar redes no intervalo entre 192.168.16.0/24 a 192.168.31.0/24. Este intervalo de rede pode ser resumido como 192.168.16.0/20, que é uma máscara de sub-rede de 255.255.240.0. Portanto, subtraia a máscara de sub-rede 255.255.240.0 de 255.255.255.255, conforme mostrado na tabela.

Esta solução produz a máscara curinga 0.0.15.255. Portanto, a ACE seria access-list 10 permit 192.168.16.0 0.0.15.255.

Valor inicial	255.255.255.255
Subtraia a máscara de sub-rede	- 255.255.240.0
Máscara curinga resultante	0. 0. 15.255

Palavras-chave de máscara curinga

Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simplificar essa tarefa, o Cisco IOS fornece duas palavras-chave para identificar os usos mais comuns da máscara curinga. As palavras-chave reduzem os pressionamentos de teclas da ACL e facilitam a leitura da ACE.

As duas palavras-chave são:

host – Esta palavra-chave substitui a máscara 0.0.0.0. Essa máscara afirma que todos os bits de endereço IPv4 devem corresponder para filtrar apenas um endereço de host.
any – Esta palavra-chave substitui a máscara 255.255.255.255. Esta máscara diz para ignorar todo o endereço IPv4 ou aceitar qualquer endereço.

Por exemplo, na saída do comando, duas ACLs são configuradas. O ACL 10 ACE permite apenas o host 192.168.10.10 e o ACL 11 ACE permite todos os hosts.

R1(config)# access-list 10 permit 192.168.10.10 0.0.0.0 
R1(config)# access-list 11 permit 0.0.0.0 255.255.255.255
R1(config)#

Como alternativa, as palavras-chave host e any poderiam ter sido usadas para substituir a saída destacada.

Os comandos a seguir realizam a mesma tarefa dos comandos anteriores.

R1(config)# access-list 10 permit host 192.168.10.10 
R1(config)# access-list 11 permit any
R1(config)#

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.

Máscaras Wildcard em ACLs

Visão geral da máscara curinga

Tipos de máscara curinga

Cálculo de máscara curinga

Palavras-chave de máscara curinga

IBN e Cisco DNA Center

Gerenciamento de Configurações