[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Ivan Chapero info en ivanchapero.com.ar
Jue Dic 13 01:26:05 ART 2018


El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un
behavior permit o deny.

Para lo que querés usar, la "action" del behavior tiene que ser "permit" y
la ACL esta bien planteada asi para el classifier.

*To specify the packet filtering action for packets matching an ACL rule
that defines permit, the action taken for the packets depends on deny or
permit in the traffic behavior. If the ACL rule defines deny, the packets
are discarded regardless of whether deny or permit is configured in the
traffic behavior.*


*http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
<http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d>*

Si el equipo te lo soporta, podes evitar crear toda una estructura de un
policy para un simple filtro, usando traffic-filter a nivel interfaz y
linkeando a la ACL:


*interface xxxxtraffic-filter* *inbound|outbound* *acl ....*




El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
escribió:

> Buenas gente, estoy necesitando ayuda con esto.
>
> Estoy tratando de filtrar un puerto udp para que no llegue a mis abonados,
> salvo desde una red mia
>
> Entonces seria algo asi el acl:
>
> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
>
> rule 15 deny udp destination-port eq 1234 source any
>
>
>
>
>
> Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como
> aplicarlo en un puerto
> Using a Traffic Policy to Filter PacketsPreventing a Specified Device
> from Accessing a Network
>
> Prevent the PC at 192.168.1.10 from accessing the network.
>
>
>
> <HUAWEI> system-view
>
> [HUAWEI] acl 2000
>
> [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>
> [HUAWEI-acl-basic-2000] quit
>
>
>
> [HUAWEI] traffic classifier c1
>
> [HUAWEI-classifier-c1] if-match acl 2000
>
> [HUAWEI-classifier-c1] quit
>
>
>
> [HUAWEI] traffic behavior b1
>
> [HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI EL
> ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>
> [HUAWEI-behavior-b1] quit
>
>
>
> [HUAWEI] traffic policy p1
>
> [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>
> [HUAWEI-trafficpolicy-p1] quit
>
>
>
> [HUAWEI] interface gigabitethernet 1/0/1
>
> [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/8941e697/attachment-0001.html>


Más información sobre la lista de distribución Lista