[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Ivan Chapero info en ivanchapero.com.ar
Jue Dic 13 17:14:37 ART 2018


Cuando Mikrotik trate y logre de hacer eso sobre un HW FPGA o ASIC y no
sobre un CPU de instrucciones genéricas volvemos a charlar si va a ser así
de fácil y sobre todo: si funcionara.

De momento es comparar peras con manzanas. Cada uno la fruta que le guste :P

El jue., 13 dic. 2018 a las 16:56, Carriers (<carriers en dainus.net>)
escribió:

> Por eso  el dia que mikrotik   saque  equipos  potentes se le va caer  el
> negocio  a más  de uno,con  solo poner  un drop  o un destination   ip
> filtras rango ,puerto, protocolo  etc .Soy conciente  que  cisco  es lo
> mejor , pero         es  cuando  en telefonía  pasemos  todo  a sip los
> dinosaurios  de SS7   van a tener horas  libres .
> Sebastián Bergagna
> Dainus.net
>
> Ignorante pero muy  curioso
> En 13 de diciembre de 2018, en 15:25, Jose Luis Gaspoz <gaspozj en is.com.ar>
> escribió:
>>
>>
>> Quisiera conocer al que ideó eso.... debe tener una mente retorcida digna
>> de estudio [image: Sonrisa]
>>
>> Algo sencillo como “seleccion de trafico” ==> “politica a aplicar”
>> ==>”donde se aplica y con que direccion”, lo transforma en flechas para
>> todos lados.
>>
>> Ing. Jose Luis Gaspoz
>> Internet Services S.A.
>> Tel: 0342-4565118
>> Cel: 342-5008523
>>
>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>> *Sent:* Thursday, December 13, 2018 2:54 PM
>> *To:* Jose Luis Gaspoz <gaspozj en is.com.ar>
>> *Cc:* lista en arnog.com.ar
>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>
>> Si, me llevo a romper trafico cuando migramos, por eso refuerzo que
>> labura muy distinto. Incluso esto tampoco es asi:
>>
>> *"*
>> *El behavior es si que vas a hacer con el trafico seleccionado, en este
>> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
>> de trafico significa que vos NO le vas a aplicar esta política, por lo que
>> no lo deniega)  "*
>>
>> Un behavior en deny, genera una acción de packet-filtering que niega el
>> packet. No excluye la clase vinculada de la política tampoco.
>>
>> [image: imagen.png]
>>
>>
>>
>> http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering
>>
>>
>> Abrazo!
>>
>> El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
>> escribió:
>>
>>>
>>> Ja.... desanden mi explicación entonces..... yo hice un simple
>>> comparativo lógico con las politicas de Cisco porque es “en su estructura”
>>> idéntica.
>>>
>>> Sorry.
>>>
>>> Saludos
>>>
>>> Ing. Jose Luis Gaspoz
>>> Internet Services S.A.
>>> Tel: 0342-4565118
>>> Cel: 342-5008523
>>>
>>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>>> *Sent:* Thursday, December 13, 2018 2:42 PM
>>> *To:* lista en arnog.com.ar ; Jose Luis Gaspoz <gaspozj en is.com.ar>
>>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>>
>>> Jose Luis,
>>> en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras
>>> plataformas. El deny en la ACL aplicada a la clase te niega el packet y
>>> sale del match, no lo excluye de la política y su action indicada en el
>>> behavior.
>>>
>>> Los invito a hacer un lab xq suena ilógico, pero es así.
>>>
>>> El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
>>> escribió:
>>>
>>>>
>>>> El ACL que especificas es para Identificar el trafico (es el
>>>> clasificador del tráfico, o sea a que tráfico se le va a aplicar la
>>>> política), no es que vas a hacer con el trafico (el deny es que no vas a
>>>> considerar ese trafico para la política a aplicar, no que denegas el
>>>> trafico).
>>>>
>>>> El behavior es si que vas a hacer con el trafico seleccionado, en este
>>>> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
>>>> de trafico significa que vos NO le vas a aplicar esta política, por lo que
>>>> no lo deniega)
>>>>
>>>> Y la política la aplicas la aplicas en la interfaz que queres y le das
>>>> la direccion (entrante , saliente).
>>>>
>>>> Saludos
>>>>
>>>> Ing. Jose Luis Gaspoz
>>>> Internet Services S.A.
>>>> Tel: 0342-4565118
>>>> Cel: 342-5008523
>>>>
>>>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>>>> *Sent:* Thursday, December 13, 2018 1:26 AM
>>>> *To:* lista en arnog.com.ar
>>>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>>>
>>>> El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si
>>>> es un behavior permit o deny.
>>>>
>>>> Para lo que querés usar, la "action" del behavior tiene que ser
>>>> "permit" y la ACL esta bien planteada asi para el classifier.
>>>>
>>>> *To specify the packet filtering action for packets matching an ACL
>>>> rule that defines permit, the action taken for the packets depends on deny
>>>> or permit in the traffic behavior. If the ACL rule defines deny, the
>>>> packets are discarded regardless of whether deny or permit is configured in
>>>> the traffic behavior.*
>>>>
>>>>
>>>> *http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
>>>> <http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d>*
>>>>
>>>> Si el equipo te lo soporta, podes evitar crear toda una estructura de
>>>> un policy para un simple filtro, usando traffic-filter a nivel interfaz y
>>>> linkeando a la ACL:
>>>>
>>>>
>>>>
>>>> *interface xxxxtraffic-filter* *inbound|outbound* *acl ....*
>>>>
>>>>
>>>>
>>>>
>>>> El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
>>>> escribió:
>>>>
>>>>> Buenas gente, estoy necesitando ayuda con esto.
>>>>>
>>>>> Estoy tratando de filtrar un puerto udp para que no llegue a mis
>>>>> abonados, salvo desde una red mia
>>>>>
>>>>> Entonces seria algo asi el acl:
>>>>>
>>>>> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234
>>>>>
>>>>> rule 15 deny udp destination-port eq 1234 source any
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro
>>>>> como aplicarlo en un puerto
>>>>> Using a Traffic Policy to Filter Packets Preventing a Specified
>>>>> Device from Accessing a Network
>>>>>
>>>>> Prevent the PC at 192.168.1.10 from accessing the network.
>>>>>
>>>>>
>>>>>
>>>>> <HUAWEI> system-view
>>>>>
>>>>> [HUAWEI] acl 2000
>>>>>
>>>>> [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>>>>>
>>>>> [HUAWEI-acl-basic-2000] quit
>>>>>
>>>>>
>>>>>
>>>>> [HUAWEI] traffic classifier c1
>>>>>
>>>>> [HUAWEI-classifier-c1] if-match acl 2000
>>>>>
>>>>> [HUAWEI-classifier-c1] quit
>>>>>
>>>>>
>>>>>
>>>>> [HUAWEI] traffic behavior b1
>>>>>
>>>>> [HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI
>>>>> EL ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>>>>>
>>>>> [HUAWEI-behavior-b1] quit
>>>>>
>>>>>
>>>>>
>>>>> [HUAWEI] traffic policy p1
>>>>>
>>>>> [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>>>>>
>>>>> [HUAWEI-trafficpolicy-p1] quit
>>>>>
>>>>>
>>>>>
>>>>> [HUAWEI] interface gigabitethernet 1/0/1
>>>>>
>>>>> [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>>
>>>>
>>>>
>>>> --
>>>>
>>>> *Ivan ChaperoÁrea Técnica y Soporte*
>>>> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype
>>>> ID: ivanchapero
>>>> --
>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>>>> Arequito - Santa Fe - Argentina
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Libre
>>>> de virus. www.avg.com
>>>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>>> ------------------------------
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>> _______________________________________________
>>>> Lista mailing list
>>>> Lista en arnog.com.ar
>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>
>>>
>>>
>>> --
>>>
>>> *Ivan ChaperoÁrea Técnica y Soporte*
>>> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
>>> ivanchapero
>>> --
>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>>> Arequito - Santa Fe - Argentina
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>

-- 

*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181213/b39668f8/attachment-0001.html>


Más información sobre la lista de distribución Lista