[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
Jose Luis Gaspoz
gaspozj en is.com.ar
Jue Dic 13 14:49:26 ART 2018
Ja.... desanden mi explicación entonces..... yo hice un simple comparativo lógico con las politicas de Cisco porque es “en su estructura” idéntica.
Sorry.
Saludos
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523
From: Ivan Chapero
Sent: Thursday, December 13, 2018 2:42 PM
To: lista en arnog.com.ar ; Jose Luis Gaspoz
Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
Jose Luis,
en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras plataformas. El deny en la ACL aplicada a la clase te niega el packet y sale del match, no lo excluye de la política y su action indicada en el behavior.
Los invito a hacer un lab xq suena ilógico, pero es así.
El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>) escribió:
El ACL que especificas es para Identificar el trafico (es el clasificador del tráfico, o sea a que tráfico se le va a aplicar la política), no es que vas a hacer con el trafico (el deny es que no vas a considerar ese trafico para la política a aplicar, no que denegas el trafico).
El behavior es si que vas a hacer con el trafico seleccionado, en este caso tiene que ser deny (recorda que lo que vos pones deny en el selector de trafico significa que vos NO le vas a aplicar esta política, por lo que no lo deniega)
Y la política la aplicas la aplicas en la interfaz que queres y le das la direccion (entrante , saliente).
Saludos
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523
From: Ivan Chapero
Sent: Thursday, December 13, 2018 1:26 AM
To: lista en arnog.com.ar
Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un behavior permit o deny.
Para lo que querés usar, la "action" del behavior tiene que ser "permit" y la ACL esta bien planteada asi para el classifier.
To specify the packet filtering action for packets matching an ACL rule that defines permit, the action taken for the packets depends on deny or permit in the traffic behavior. If the ACL rule defines deny, the packets are discarded regardless of whether deny or permit is configured in the traffic behavior.
http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
Si el equipo te lo soporta, podes evitar crear toda una estructura de un policy para un simple filtro, usando traffic-filter a nivel interfaz y linkeando a la ACL:
interface xxxxtraffic-filter inbound|outbound acl ....
El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>) escribió:
Buenas gente, estoy necesitando ayuda con esto.
Estoy tratando de filtrar un puerto udp para que no llegue a mis abonados, salvo desde una red mia
Entonces seria algo asi el acl:
rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
rule 15 deny udp destination-port eq 1234 source any
Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como aplicarlo en un puerto
Using a Traffic Policy to Filter Packets
Preventing a Specified Device from Accessing a Network
Prevent the PC at 192.168.1.10 from accessing the network.
<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match acl 2000
[HUAWEI-classifier-c1] quit
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] deny ACA Q PASA SI PONEMOS PERMIT? SI EL ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
[HUAWEI-behavior-b1] quit
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
Libre de virus. www.avg.com
------------------------------------------------------------------------------
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
--
Ivan Chapero
Área Técnica y Soporte
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID: ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/a6a5fd01/attachment-0001.html>
Más información sobre la lista de distribución Lista