Para que a access list seja mais eficiente não poderíamos utilizar um wildcard próprio para subredes? Pelo que pude perceber ao analisar o wildcard bits com a mascara de rede, quando queremos atribuir uma regra para toda a rede basta pegar a mascara de rede e onde tivermos o octeto 255 no wildcard bits ele será 0 e onde na mascara é 0 no wildcard bits será 255. Já no caso de uma subrede aplicamos a mesma conversão em sua mascara para o wildcard bits, no octeto que for 255 para 0 e 0 para 255, porém na subrede algum octeto não será 0 ou 255 e para este octeto será preciso convertê-lo para binário. Após a conversão basta fazer a potência de 2 elevado a quantidade de bit zeros (0) menos 1.
Ex.: no caso da rede 172.16.0.0 temos uma mascara 255.255.254.0. Convertendo a mascara nós já teremos os seguintes octetos: 0.0.x.255 Agora vamos achar o x. 254 convertido em binário é 11111110. Neste octeto temos apenas 1 zero, então teremos 2¹-1=1. Sendo assim o wildcard bits próprio para essa sub-rede seria 0.0.1.255. Já na rede 172.16.2.128 temos uma mascara 255.255.255.128. De início já sabemos os 3 primeiros octetos que serão 0.0.0.x. O último em binário é 128=10000000. Aqui nós temos 7 zeros, então 2 elevado a sete menos 1 = 127. Logo o wildcard bits mais indicado para a rede 172.16.2.128/25 é 0.0.0.127.
Esse meu raciocínio está correto e seria o mais indicado para este caso?
Foi o que pude entender ao lê este link https://www.cisco.com/c/pt_br/support/docs/security/ios-firewall/23602-confaccesslists.html
