6.2 Tareas de configuración de las ACL
6.2.2 Propósito y función de los bits de la máscara wildcard
Nota para el instructor
  ¡Tenga cuidado con la confusión que se puede producir en la mente de los estudiantes! Las máscaras wildcard pueden verse algo parecidas a las máscaras de subred, pero se comportan de manera muy diferente. El principio básico es que los estudiantes entiendan que un 1 en una máscara wildcard significa que NO se debe intentar comparar el bit correspondiente en una dirección IP, mientras que un 0 en una máscara wildcard significa que una coincidencia en el bit correspondiente en una dirección IP es OBLIGATORIA. Por lo tanto una máscara wildcard de sólo ceros significa que se debe verificar cada bit en la dirección IP para buscar una coincidencia, mientras que una máscara wildcard de sólo unos significa que se deben ignorar todos los bits en una dirección IP (cualquier dirección IP representa una coincidencia; o bien, que los bits de la dirección IP no importan). Las Mejores prácticas para este indicador de objetivos son una Miniconferencia y Estudio en línea (con una Guía de estudio), con mucha práctica de escritura y descifrado de las máscaras wildcard. Este indicador de objetivos se relaciona con el Objetivo nº 44 del Examen de certificación CCNA.

Una máscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la que cada octeto contiene 8 bits. Un bit de máscara wildcard de 0 significa "verificar el valor de bit correspondiente" y un bit 1 de una máscara wildcard significa "no verificar (ignorar) el valor de bit correspondiente".

Una máscara wildcard se compara con una dirección IP. Los números uno y cero se usan para identificar cómo tratar los bits de la dirección IP correspondientes. Las ACL usan máscaras wildcard para identificar una sola o múltiples direcciones para las pruebas de aprobar o rechazar. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el "wildcard" (comodín) que equivale a cualquier otro naipe en un juego de póquer.

Aunque ambas son cantidades de 32 bits, las máscaras wildcard y las máscaras de subred IP operan de manera diferente. Recuerde que los ceros y unos en una máscara de subred determinan las porciones de red, subred y host de la dirección IP correspondientes. Los ceros y unos en un wildcard, como se ha observado, determinan si los bits correspondientes en la dirección IP se deben verificar o ignorar para los fines de la ACL.

Como hemos visto, los bits de ceros y unos en una máscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la dirección IP. En la figura,  se aplica este proceso de máscara wildcard.

Digamos que desea verificar una dirección IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la dirección IP es una dirección Clase B (es decir, que los primeros dos octetos son el número de red) con 8 bits de división en subredes (el tercer octeto es para las subredes). Es necesario usar bits de máscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cómo usar la máscara wildcard para hacer esto.

Para empezar, la máscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la máscara wildcard. Como no interesan las direcciones de host individuales (un identificador de host no tiene .00 al final de la dirección), la máscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la máscara wildcard.

En el tercer octeto, la máscara wildcard es 15 (00001111), y la dirección IP es 16 (00010000). Los primeros cuatro ceros en la máscara wildcard indican al router que debe comparar los primeros cuatro bits de la dirección IP (0001). Como los últimos cuatro bits se ignoran, todos los números dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrón 0001. Para los cuatro bits finales (menos significativos) en este octeto, la máscara wildcard ignora el valor porque en estas posiciones, el valor de la dirección puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la dirección 172.30.16.0 con la máscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La máscara wildcard no coincide con ninguna otra subred.