[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Carriers carriers en dainus.net
Jue Dic 13 16:55:57 ART 2018 

Por eso  el dia que mikrotik   saque  equipos  potentes se le va caer  el negocio  a más  de uno,con  solo poner  un drop  o un destination   ip    filtras rango ,puerto, protocolo  etc .Soy conciente  que  cisco  es lo mejor , pero         es  cuando  en telefonía  pasemos  todo  a sip los dinosaurios  de SS7   van a tener horas  libres .
Sebastián Bergagna
Dainus.net

Ignorante pero muy  curioso 

En 13 de diciembre de 2018 15:25, en 15:25, Jose Luis Gaspoz <gaspozj en is.com.ar> escribió:
>
>Quisiera conocer al que ideó eso.... debe tener una mente retorcida
>digna de estudio 
>
>Algo sencillo como “seleccion de trafico” ==> “politica a aplicar”
>==>”donde se aplica y con que direccion”, lo transforma en flechas para
>todos lados.
>
>Ing. Jose Luis Gaspoz
>Internet Services S.A.
>Tel: 0342-4565118
>Cel: 342-5008523
>
>From: Ivan Chapero 
>Sent: Thursday, December 13, 2018 2:54 PM
>To: Jose Luis Gaspoz 
>Cc: lista en arnog.com.ar 
>Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
>Si, me llevo a romper trafico cuando migramos, por eso refuerzo que
>labura muy distinto. Incluso esto tampoco es asi:
>
>
>"
>El behavior es si que vas a hacer con el trafico seleccionado, en este
>caso tiene que ser deny (recorda que lo que vos pones deny en el
>selector de trafico significa que vos NO le vas a aplicar esta
>política, por lo que no lo deniega)  "
>
>
>Un behavior en deny, genera una acción de packet-filtering que niega el
>packet. No excluye la clase vinculada de la política tampoco.
>
>
>
>
>
>
>http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering
>
>
>
>Abrazo!
>
>El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz
>(<gaspozj en is.com.ar>) escribió:
>
>
>Ja.... desanden mi explicación entonces..... yo hice un simple
>comparativo lógico con las politicas de Cisco porque es “en su
>estructura” idéntica.
>
>  Sorry.
>
>  Saludos
>
>  Ing. Jose Luis Gaspoz
>  Internet Services S.A.
>  Tel: 0342-4565118
>  Cel: 342-5008523
>
>  From: Ivan Chapero 
>  Sent: Thursday, December 13, 2018 2:42 PM
>  To: lista en arnog.com.ar ; Jose Luis Gaspoz 
>  Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
>  Jose Luis, 
>
>en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que
>otras plataformas. El deny en la ACL aplicada a la clase te niega el
>packet y sale del match, no lo excluye de la política y su action
>indicada en el behavior. 
>
>
>  Los invito a hacer un lab xq suena ilógico, pero es así.
>
>
>El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz
>(<gaspozj en is.com.ar>) escribió:
>
>
>El ACL que especificas es para Identificar el trafico (es el
>clasificador del tráfico, o sea a que tráfico se le va a aplicar la
>política), no es que vas a hacer con el trafico (el deny es que no vas
>a considerar ese trafico para la política a aplicar, no que denegas el
>trafico).
>
>El behavior es si que vas a hacer con el trafico seleccionado, en este
>caso tiene que ser deny (recorda que lo que vos pones deny en el
>selector de trafico significa que vos NO le vas a aplicar esta
>política, por lo que no lo deniega)
>
>Y la política la aplicas la aplicas en la interfaz que queres y le das
>la direccion (entrante , saliente).
>
>    Saludos
>
>    Ing. Jose Luis Gaspoz
>    Internet Services S.A.
>    Tel: 0342-4565118
>    Cel: 342-5008523
>
>    From: Ivan Chapero 
>    Sent: Thursday, December 13, 2018 1:26 AM
>    To: lista en arnog.com.ar 
>    Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
>El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si
>es un behavior permit o deny. 
>
>
>Para lo que querés usar, la "action" del behavior tiene que ser
>"permit" y la ACL esta bien planteada asi para el classifier.
>
>To specify the packet filtering action for packets matching an ACL rule
>that defines permit, the action taken for the packets depends on deny
>or permit in the traffic behavior. If the ACL rule defines deny, the
>packets are discarded regardless of whether deny or permit is
>configured in the traffic behavior.
>
>
>http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
>
>
>
>Si el equipo te lo soporta, podes evitar crear toda una estructura de
>un policy para un simple filtro, usando traffic-filter a nivel interfaz
>y linkeando a la ACL:
>
>interface xxxxtraffic-filter inbound|outbound acl ....
>
>
>
>
>El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
>escribió:
>
>      Buenas gente, estoy necesitando ayuda con esto.
>
>Estoy tratando de filtrar un puerto udp para que no llegue a mis
>abonados, salvo desde una red mia
>
>      Entonces seria algo asi el acl:
>
> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
>
>      rule 15 deny udp destination-port eq 1234 source any
>
>
>
>
>
>Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro
>como aplicarlo en un puerto
>
>      Using a Traffic Policy to Filter Packets
>      Preventing a Specified Device from Accessing a Network
>      Prevent the PC at 192.168.1.10 from accessing the network.
>
>
>
>      <HUAWEI> system-view
>
>      [HUAWEI] acl 2000
>
>      [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>
>      [HUAWEI-acl-basic-2000] quit
>
>
>
>      [HUAWEI] traffic classifier c1
>
>      [HUAWEI-classifier-c1] if-match acl 2000
>
>      [HUAWEI-classifier-c1] quit
>
>
>
>      [HUAWEI] traffic behavior b1
>
>[HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI EL
>ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>
>      [HUAWEI-behavior-b1] quit
>
>
>
>      [HUAWEI] traffic policy p1
>
>      [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>
>      [HUAWEI-trafficpolicy-p1] quit
>
>
>
>      [HUAWEI] interface gigabitethernet 1/0/1
>
>      [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>
>
>
>
>
>      _______________________________________________
>      Lista mailing list
>      Lista en arnog.com.ar
>      http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
>    -- 
>
>    Ivan Chapero
>    Área Técnica y Soporte 
>Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
>ivanchapero 
>    --
>
>GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>Arequito - Santa Fe - Argentina
>
>
>
>
>
>
>
>
>
>         Libre de virus. www.avg.com  
>
>
>----------------------------------------------------------------------------
>    _______________________________________________
>    Lista mailing list
>    Lista en arnog.com.ar
>    http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>    _______________________________________________
>    Lista mailing list
>    Lista en arnog.com.ar
>    http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
>  -- 
>
>  Ivan Chapero
>  Área Técnica y Soporte 
>Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
>ivanchapero 
>  --
>
>GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>Arequito - Santa Fe - Argentina
>
>
>
>
>
>
>
>
>
>
>-- 
>
>Ivan Chapero
>Área Técnica y Soporte 
>Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
>ivanchapero 
>--
>
>GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>Arequito - Santa Fe - Argentina
>
>
>
>
>
>
>
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Lista mailing list
>Lista en arnog.com.ar
>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/723c6e21/attachment-0001.html>

Más información sobre la lista de distribución Lista