[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Ivan Chapero info en ivanchapero.com.ar
Jue Dic 13 14:42:58 ART 2018


Jose Luis,
en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras
plataformas. El deny en la ACL aplicada a la clase te niega el packet y
sale del match, no lo excluye de la política y su action indicada en el
behavior.

Los invito a hacer un lab xq suena ilógico, pero es así.

El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
escribió:

>
> El ACL que especificas es para Identificar el trafico (es el clasificador
> del tráfico, o sea a que tráfico se le va a aplicar la política), no es que
> vas a hacer con el trafico (el deny es que no vas a considerar ese trafico
> para la política a aplicar, no que denegas el trafico).
>
> El behavior es si que vas a hacer con el trafico seleccionado, en este
> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
> de trafico significa que vos NO le vas a aplicar esta política, por lo que
> no lo deniega)
>
> Y la política la aplicas la aplicas en la interfaz que queres y le das la
> direccion (entrante , saliente).
>
> Saludos
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
> *From:* Ivan Chapero <info en ivanchapero.com.ar>
> *Sent:* Thursday, December 13, 2018 1:26 AM
> *To:* lista en arnog.com.ar
> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
> El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es
> un behavior permit o deny.
>
> Para lo que querés usar, la "action" del behavior tiene que ser "permit" y
> la ACL esta bien planteada asi para el classifier.
>
> *To specify the packet filtering action for packets matching an ACL rule
> that defines permit, the action taken for the packets depends on deny or
> permit in the traffic behavior. If the ACL rule defines deny, the packets
> are discarded regardless of whether deny or permit is configured in the
> traffic behavior.*
>
>
> *http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
> <http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d>*
>
> Si el equipo te lo soporta, podes evitar crear toda una estructura de un
> policy para un simple filtro, usando traffic-filter a nivel interfaz y
> linkeando a la ACL:
>
>
>
> *interface xxxxtraffic-filter* *inbound|outbound* *acl ....*
>
>
>
>
> El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
> escribió:
>
>> Buenas gente, estoy necesitando ayuda con esto.
>>
>> Estoy tratando de filtrar un puerto udp para que no llegue a mis
>> abonados, salvo desde una red mia
>>
>> Entonces seria algo asi el acl:
>>
>> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
>>
>> rule 15 deny udp destination-port eq 1234 source any
>>
>>
>>
>>
>>
>> Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como
>> aplicarlo en un puerto
>> Using a Traffic Policy to Filter Packets Preventing a Specified Device
>> from Accessing a Network
>>
>> Prevent the PC at 192.168.1.10 from accessing the network.
>>
>>
>>
>> <HUAWEI> system-view
>>
>> [HUAWEI] acl 2000
>>
>> [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>>
>> [HUAWEI-acl-basic-2000] quit
>>
>>
>>
>> [HUAWEI] traffic classifier c1
>>
>> [HUAWEI-classifier-c1] if-match acl 2000
>>
>> [HUAWEI-classifier-c1] quit
>>
>>
>>
>> [HUAWEI] traffic behavior b1
>>
>> [HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI EL
>> ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>>
>> [HUAWEI-behavior-b1] quit
>>
>>
>>
>> [HUAWEI] traffic policy p1
>>
>> [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>>
>> [HUAWEI-trafficpolicy-p1] quit
>>
>>
>>
>> [HUAWEI] interface gigabitethernet 1/0/1
>>
>> [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>>
>>
>>
>>
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>
>
> --
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
>
>
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Libre
> de virus. www.avg.com
> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
> ------------------------------
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>


-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/355e85ae/attachment.html>


Más información sobre la lista de distribución Lista