[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
Ivan Chapero
info en ivanchapero.com.ar
Jue Dic 13 14:54:20 ART 2018
Si, me llevo a romper trafico cuando migramos, por eso refuerzo que labura
muy distinto. Incluso esto tampoco es asi:
*"*
*El behavior es si que vas a hacer con el trafico seleccionado, en este
caso tiene que ser deny (recorda que lo que vos pones deny en el selector
de trafico significa que vos NO le vas a aplicar esta política, por lo que
no lo deniega) "*
Un behavior en deny, genera una acción de packet-filtering que niega el
packet. No excluye la clase vinculada de la política tampoco.
[image: imagen.png]
http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering
Abrazo!
El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
escribió:
>
> Ja.... desanden mi explicación entonces..... yo hice un simple comparativo
> lógico con las politicas de Cisco porque es “en su estructura” idéntica.
>
> Sorry.
>
> Saludos
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
> *From:* Ivan Chapero <info en ivanchapero.com.ar>
> *Sent:* Thursday, December 13, 2018 2:42 PM
> *To:* lista en arnog.com.ar ; Jose Luis Gaspoz <gaspozj en is.com.ar>
> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
> Jose Luis,
> en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras
> plataformas. El deny en la ACL aplicada a la clase te niega el packet y
> sale del match, no lo excluye de la política y su action indicada en el
> behavior.
>
> Los invito a hacer un lab xq suena ilógico, pero es así.
>
> El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
> escribió:
>
>>
>> El ACL que especificas es para Identificar el trafico (es el clasificador
>> del tráfico, o sea a que tráfico se le va a aplicar la política), no es que
>> vas a hacer con el trafico (el deny es que no vas a considerar ese trafico
>> para la política a aplicar, no que denegas el trafico).
>>
>> El behavior es si que vas a hacer con el trafico seleccionado, en este
>> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
>> de trafico significa que vos NO le vas a aplicar esta política, por lo que
>> no lo deniega)
>>
>> Y la política la aplicas la aplicas en la interfaz que queres y le das la
>> direccion (entrante , saliente).
>>
>> Saludos
>>
>> Ing. Jose Luis Gaspoz
>> Internet Services S.A.
>> Tel: 0342-4565118
>> Cel: 342-5008523
>>
>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>> *Sent:* Thursday, December 13, 2018 1:26 AM
>> *To:* lista en arnog.com.ar
>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>
>> El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es
>> un behavior permit o deny.
>>
>> Para lo que querés usar, la "action" del behavior tiene que ser "permit"
>> y la ACL esta bien planteada asi para el classifier.
>>
>> *To specify the packet filtering action for packets matching an ACL rule
>> that defines permit, the action taken for the packets depends on deny or
>> permit in the traffic behavior. If the ACL rule defines deny, the packets
>> are discarded regardless of whether deny or permit is configured in the
>> traffic behavior.*
>>
>>
>> *http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
>> <http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d>*
>>
>> Si el equipo te lo soporta, podes evitar crear toda una estructura de un
>> policy para un simple filtro, usando traffic-filter a nivel interfaz y
>> linkeando a la ACL:
>>
>>
>>
>> *interface xxxxtraffic-filter* *inbound|outbound* *acl ....*
>>
>>
>>
>>
>> El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
>> escribió:
>>
>>> Buenas gente, estoy necesitando ayuda con esto.
>>>
>>> Estoy tratando de filtrar un puerto udp para que no llegue a mis
>>> abonados, salvo desde una red mia
>>>
>>> Entonces seria algo asi el acl:
>>>
>>> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
>>>
>>> rule 15 deny udp destination-port eq 1234 source any
>>>
>>>
>>>
>>>
>>>
>>> Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como
>>> aplicarlo en un puerto
>>> Using a Traffic Policy to Filter Packets Preventing a Specified Device
>>> from Accessing a Network
>>>
>>> Prevent the PC at 192.168.1.10 from accessing the network.
>>>
>>>
>>>
>>> <HUAWEI> system-view
>>>
>>> [HUAWEI] acl 2000
>>>
>>> [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>>>
>>> [HUAWEI-acl-basic-2000] quit
>>>
>>>
>>>
>>> [HUAWEI] traffic classifier c1
>>>
>>> [HUAWEI-classifier-c1] if-match acl 2000
>>>
>>> [HUAWEI-classifier-c1] quit
>>>
>>>
>>>
>>> [HUAWEI] traffic behavior b1
>>>
>>> [HUAWEI-behavior-b1] deny ACA Q PASA SI PONEMOS PERMIT? SI EL
>>> ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>>>
>>> [HUAWEI-behavior-b1] quit
>>>
>>>
>>>
>>> [HUAWEI] traffic policy p1
>>>
>>> [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>>>
>>> [HUAWEI-trafficpolicy-p1] quit
>>>
>>>
>>>
>>> [HUAWEI] interface gigabitethernet 1/0/1
>>>
>>> [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Lista mailing list
>>> Lista en arnog.com.ar
>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>
>>
>>
>> --
>>
>> *Ivan ChaperoÁrea Técnica y Soporte*
>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
>> ivanchapero
>> --
>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>> Arequito - Santa Fe - Argentina
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Libre
>> de virus. www.avg.com
>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>> ------------------------------
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>> _______________________________________________
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>
>
> --
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/a3328358/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: imagen.png
Type: image/png
Size: 86843 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/a3328358/attachment-0001.png>
Más información sobre la lista de distribución Lista