[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Jose Luis Gaspoz gaspozj en is.com.ar
Jue Dic 13 14:49:26 ART 2018


Ja.... desanden mi explicación entonces..... yo hice un simple comparativo lógico con las politicas de Cisco porque es “en su estructura” idéntica.

Sorry.

Saludos

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Ivan Chapero 
Sent: Thursday, December 13, 2018 2:42 PM
To: lista en arnog.com.ar ; Jose Luis Gaspoz 
Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Jose Luis, 

en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras plataformas. El deny en la ACL aplicada a la clase te niega el packet y sale del match, no lo excluye de la política y su action indicada en el behavior. 


Los invito a hacer un lab xq suena ilógico, pero es así.


El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>) escribió:


  El ACL que especificas es para Identificar el trafico (es el clasificador del tráfico, o sea a que tráfico se le va a aplicar la política), no es que vas a hacer con el trafico (el deny es que no vas a considerar ese trafico para la política a aplicar, no que denegas el trafico).

  El behavior es si que vas a hacer con el trafico seleccionado, en este caso tiene que ser deny (recorda que lo que vos pones deny en el selector de trafico significa que vos NO le vas a aplicar esta política, por lo que no lo deniega)

  Y la política la aplicas la aplicas en la interfaz que queres y le das la direccion (entrante , saliente).

  Saludos

  Ing. Jose Luis Gaspoz
  Internet Services S.A.
  Tel: 0342-4565118
  Cel: 342-5008523

  From: Ivan Chapero 
  Sent: Thursday, December 13, 2018 1:26 AM
  To: lista en arnog.com.ar 
  Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

  El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un behavior permit o deny. 


  Para lo que querés usar, la "action" del behavior tiene que ser "permit" y la ACL esta bien planteada asi para el classifier.

  To specify the packet filtering action for packets matching an ACL rule that defines permit, the action taken for the packets depends on deny or permit in the traffic behavior. If the ACL rule defines deny, the packets are discarded regardless of whether deny or permit is configured in the traffic behavior.


  http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d



  Si el equipo te lo soporta, podes evitar crear toda una estructura de un policy para un simple filtro, usando traffic-filter a nivel interfaz y linkeando a la ACL:

interface xxxxtraffic-filter inbound|outbound acl ....




  El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>) escribió:

    Buenas gente, estoy necesitando ayuda con esto.

    Estoy tratando de filtrar un puerto udp para que no llegue a mis abonados, salvo desde una red mia

    Entonces seria algo asi el acl:

    rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234

    rule 15 deny udp destination-port eq 1234 source any





    Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como aplicarlo en un puerto

    Using a Traffic Policy to Filter Packets
    Preventing a Specified Device from Accessing a Network
    Prevent the PC at 192.168.1.10 from accessing the network.



    <HUAWEI> system-view

    [HUAWEI] acl 2000

    [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0

    [HUAWEI-acl-basic-2000] quit



    [HUAWEI] traffic classifier c1

    [HUAWEI-classifier-c1] if-match acl 2000

    [HUAWEI-classifier-c1] quit



    [HUAWEI] traffic behavior b1

    [HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI EL ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….

    [HUAWEI-behavior-b1] quit



    [HUAWEI] traffic policy p1

    [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1

    [HUAWEI-trafficpolicy-p1] quit



    [HUAWEI] interface gigabitethernet 1/0/1

    [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound





    _______________________________________________
    Lista mailing list
    Lista en arnog.com.ar
    http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



  -- 

  Ivan Chapero
  Área Técnica y Soporte 
  Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
  --

  GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









       Libre de virus. www.avg.com  


------------------------------------------------------------------------------
  _______________________________________________
  Lista mailing list
  Lista en arnog.com.ar
  http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

  _______________________________________________
  Lista mailing list
  Lista en arnog.com.ar
  http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina







------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/a6a5fd01/attachment-0001.html>


Más información sobre la lista de distribución Lista