[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Jose Luis Gaspoz gaspozj en is.com.ar
Vie Dic 14 10:47:58 ART 2018 

Comparto con Ivan ..... es como comparar un auto de rally con uno de calle, si no tenes que correr un rally son mas o menos iguales, es mas, en la calle es mas cómodo el estándar .... pero si tenes que correr un rally o acelerar un poco mas, no creo que quieras estar en el estándar 

No es para polemizar, por ahi no se conoce mucho las últimas soluciones de las marcas de punta. La facilidad es relativa a con que estas trabajando.... precisamente, trabajar con políticas de trafico/encapsulacion/marcado/filtrado que laburan directamente contra una programable ASIC / UADP /FPGA en un Switch capa 3 antes de llegar a ser tratado en el “proceso Core” complican “las líneas de comando” pero indudablemente las ventajas son infinitas porque ahi realmente es wired-speed el proceso.

Saludos


Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Ivan Chapero 
Sent: Thursday, December 13, 2018 5:14 PM
To: carriers en dainus.net 
Cc: lista en arnog.com.ar ; Jose Luis Gaspoz 
Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

Cuando Mikrotik trate y logre de hacer eso sobre un HW FPGA o ASIC y no sobre un CPU de instrucciones genéricas volvemos a charlar si va a ser así de fácil y sobre todo: si funcionara.

De momento es comparar peras con manzanas. Cada uno la fruta que le guste :P


El jue., 13 dic. 2018 a las 16:56, Carriers (<carriers en dainus.net>) escribió:

  Por eso  el dia que mikrotik   saque  equipos  potentes se le va caer  el negocio  a más  de uno,con  solo poner  un drop  o un destination   ip    filtras rango ,puerto, protocolo  etc .Soy conciente  que  cisco  es lo mejor , pero         es  cuando  en telefonía  pasemos  todo  a sip los dinosaurios  de SS7   van a tener horas  libres .

  Sebastián Bergagna

  Dainus.net


  Ignorante pero muy  curioso 
  En 13 de diciembre de 2018, en 15:25, Jose Luis Gaspoz <gaspozj en is.com.ar> escribió: 

    Quisiera conocer al que ideó eso.... debe tener una mente retorcida digna de estudio 

    Algo sencillo como “seleccion de trafico” ==> “politica a aplicar” ==>”donde se aplica y con que direccion”, lo transforma en flechas para todos lados.

    Ing. Jose Luis Gaspoz
    Internet Services S.A.
    Tel: 0342-4565118
    Cel: 342-5008523

    From: Ivan Chapero 
    Sent: Thursday, December 13, 2018 2:54 PM
    To: Jose Luis Gaspoz 
    Cc: lista en arnog.com.ar 
    Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

    Si, me llevo a romper trafico cuando migramos, por eso refuerzo que labura muy distinto. Incluso esto tampoco es asi:


    "
    El behavior es si que vas a hacer con el trafico seleccionado, en este caso tiene que ser deny (recorda que lo que vos pones deny en el selector de trafico significa que vos NO le vas a aplicar esta política, por lo que no lo deniega)  "


    Un behavior en deny, genera una acción de packet-filtering que niega el packet. No excluye la clase vinculada de la política tampoco.






    http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering



    Abrazo!

    El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz (<gaspozj en is.com.ar>) escribió:


      Ja.... desanden mi explicación entonces..... yo hice un simple comparativo lógico con las politicas de Cisco porque es “en su estructura” idéntica.

      Sorry.

      Saludos

      Ing. Jose Luis Gaspoz
      Internet Services S.A.
      Tel: 0342-4565118
      Cel: 342-5008523

      From: Ivan Chapero 
      Sent: Thursday, December 13, 2018 2:42 PM
      To: lista en arnog.com.ar ; Jose Luis Gaspoz 
      Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

      Jose Luis, 

      en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras plataformas. El deny en la ACL aplicada a la clase te niega el packet y sale del match, no lo excluye de la política y su action indicada en el behavior. 


      Los invito a hacer un lab xq suena ilógico, pero es así.


      El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>) escribió:


        El ACL que especificas es para Identificar el trafico (es el clasificador del tráfico, o sea a que tráfico se le va a aplicar la política), no es que vas a hacer con el trafico (el deny es que no vas a considerar ese trafico para la política a aplicar, no que denegas el trafico).

        El behavior es si que vas a hacer con el trafico seleccionado, en este caso tiene que ser deny (recorda que lo que vos pones deny en el selector de trafico significa que vos NO le vas a aplicar esta política, por lo que no lo deniega)

        Y la política la aplicas la aplicas en la interfaz que queres y le das la direccion (entrante , saliente).

        Saludos

        Ing. Jose Luis Gaspoz
        Internet Services S.A.
        Tel: 0342-4565118
        Cel: 342-5008523

        From: Ivan Chapero 
        Sent: Thursday, December 13, 2018 1:26 AM
        To: lista en arnog.com.ar 
        Subject: Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei

        El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un behavior permit o deny. 


        Para lo que querés usar, la "action" del behavior tiene que ser "permit" y la ACL esta bien planteada asi para el classifier.

        To specify the packet filtering action for packets matching an ACL rule that defines permit, the action taken for the packets depends on deny or permit in the traffic behavior. If the ACL rule defines deny, the packets are discarded regardless of whether deny or permit is configured in the traffic behavior.


        http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d



        Si el equipo te lo soporta, podes evitar crear toda una estructura de un policy para un simple filtro, usando traffic-filter a nivel interfaz y linkeando a la ACL:

interface xxxxtraffic-filter inbound|outbound acl ....




        El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>) escribió:

          Buenas gente, estoy necesitando ayuda con esto.

          Estoy tratando de filtrar un puerto udp para que no llegue a mis abonados, salvo desde una red mia

          Entonces seria algo asi el acl:

          rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq 1234

          rule 15 deny udp destination-port eq 1234 source any





          Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro como aplicarlo en un puerto

          Using a Traffic Policy to Filter Packets
          Preventing a Specified Device from Accessing a Network
          Prevent the PC at 192.168.1.10 from accessing the network.



          <HUAWEI> system-view

          [HUAWEI] acl 2000

          [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0

          [HUAWEI-acl-basic-2000] quit



          [HUAWEI] traffic classifier c1

          [HUAWEI-classifier-c1] if-match acl 2000

          [HUAWEI-classifier-c1] quit



          [HUAWEI] traffic behavior b1

          [HUAWEI-behavior-b1] deny          ACA Q PASA SI PONEMOS PERMIT? SI EL ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….

          [HUAWEI-behavior-b1] quit



          [HUAWEI] traffic policy p1

          [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1

          [HUAWEI-trafficpolicy-p1] quit



          [HUAWEI] interface gigabitethernet 1/0/1

          [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound





          _______________________________________________
          Lista mailing list
          Lista en arnog.com.ar
          http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



        -- 

        Ivan Chapero
        Área Técnica y Soporte 
        Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
        --

        GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina









             Libre de virus. www.avg.com  


------------------------------------------------------------------------
        _______________________________________________
        Lista mailing list
        Lista en arnog.com.ar
        http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

        _______________________________________________
        Lista mailing list
        Lista en arnog.com.ar
        http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista



      -- 

      Ivan Chapero
      Área Técnica y Soporte 
      Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
      --

      GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina











-- 

Ivan Chapero
Área Técnica y Soporte 
Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID: ivanchapero 
--

GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina







------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181214/6283c055/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: wlEmoticon-smile[1].png
Type: image/png
Size: 1046 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181214/6283c055/attachment-0001.png>

Más información sobre la lista de distribución Lista