[Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
Alejandro Mucic
ipnero en gmail.com
Vie Dic 14 17:33:28 ART 2018
me encanta mikrotik pero le falta unos cuantos eones para alcanzar a cisco.
On Fri, Dec 14, 2018 at 10:48 AM Jose Luis Gaspoz <gaspozj en is.com.ar> wrote:
>
> Comparto con Ivan ..... es como comparar un auto de rally con uno de
> calle, si no tenes que correr un rally son mas o menos iguales, es mas, en
> la calle es mas cómodo el estándar .... pero si tenes que correr un rally o
> acelerar un poco mas, no creo que quieras estar en el estándar [image:
> Sonrisa]
>
> No es para polemizar, por ahi no se conoce mucho las últimas soluciones de
> las marcas de punta. La facilidad es relativa a con que estas
> trabajando.... precisamente, trabajar con políticas de
> trafico/encapsulacion/marcado/filtrado que laburan directamente contra una
> programable ASIC / UADP /FPGA en un Switch capa 3 antes de llegar a ser
> tratado en el “proceso Core” complican “las líneas de comando” pero
> indudablemente las ventajas son infinitas porque ahi realmente es
> wired-speed el proceso.
>
> Saludos
>
>
> Ing. Jose Luis Gaspoz
> Internet Services S.A.
> Tel: 0342-4565118
> Cel: 342-5008523
>
> *From:* Ivan Chapero <info en ivanchapero.com.ar>
> *Sent:* Thursday, December 13, 2018 5:14 PM
> *To:* carriers en dainus.net
> *Cc:* lista en arnog.com.ar ; Jose Luis Gaspoz <gaspozj en is.com.ar>
> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>
> Cuando Mikrotik trate y logre de hacer eso sobre un HW FPGA o ASIC y no
> sobre un CPU de instrucciones genéricas volvemos a charlar si va a ser así
> de fácil y sobre todo: si funcionara.
>
> De momento es comparar peras con manzanas. Cada uno la fruta que le guste
> :P
>
> El jue., 13 dic. 2018 a las 16:56, Carriers (<carriers en dainus.net>)
> escribió:
>
>> Por eso el dia que mikrotik saque equipos potentes se le va caer el
>> negocio a más de uno,con solo poner un drop o un destination ip
>> filtras rango ,puerto, protocolo etc .Soy conciente que cisco es lo
>> mejor , pero es cuando en telefonía pasemos todo a sip los
>> dinosaurios de SS7 van a tener horas libres .
>> Sebastián Bergagna
>> Dainus.net
>>
>> Ignorante pero muy curioso
>> En 13 de diciembre de 2018, en 15:25, Jose Luis Gaspoz <gaspozj en is.com.ar>
>> escribió:
>>>
>>>
>>> Quisiera conocer al que ideó eso.... debe tener una mente retorcida
>>> digna de estudio [image: Sonrisa]
>>>
>>> Algo sencillo como “seleccion de trafico” ==> “politica a aplicar”
>>> ==>”donde se aplica y con que direccion”, lo transforma en flechas para
>>> todos lados.
>>>
>>> Ing. Jose Luis Gaspoz
>>> Internet Services S.A.
>>> Tel: 0342-4565118
>>> Cel: 342-5008523
>>>
>>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>>> *Sent:* Thursday, December 13, 2018 2:54 PM
>>> *To:* Jose Luis Gaspoz <gaspozj en is.com.ar>
>>> *Cc:* lista en arnog.com.ar
>>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>>
>>> Si, me llevo a romper trafico cuando migramos, por eso refuerzo que
>>> labura muy distinto. Incluso esto tampoco es asi:
>>>
>>> *"*
>>> *El behavior es si que vas a hacer con el trafico seleccionado, en este
>>> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
>>> de trafico significa que vos NO le vas a aplicar esta política, por lo que
>>> no lo deniega) "*
>>>
>>> Un behavior en deny, genera una acción de packet-filtering que niega el
>>> packet. No excluye la clase vinculada de la política tampoco.
>>>
>>> [image: imagen.png]
>>>
>>>
>>>
>>> http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering
>>>
>>>
>>> Abrazo!
>>>
>>> El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
>>> escribió:
>>>
>>>>
>>>> Ja.... desanden mi explicación entonces..... yo hice un simple
>>>> comparativo lógico con las politicas de Cisco porque es “en su estructura”
>>>> idéntica.
>>>>
>>>> Sorry.
>>>>
>>>> Saludos
>>>>
>>>> Ing. Jose Luis Gaspoz
>>>> Internet Services S.A.
>>>> Tel: 0342-4565118
>>>> Cel: 342-5008523
>>>>
>>>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>>>> *Sent:* Thursday, December 13, 2018 2:42 PM
>>>> *To:* lista en arnog.com.ar ; Jose Luis Gaspoz <gaspozj en is.com.ar>
>>>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>>>
>>>> Jose Luis,
>>>> en el MQC de Huawei no sigue la lógica (mas lógica por cierto) que
>>>> otras plataformas. El deny en la ACL aplicada a la clase te niega el packet
>>>> y sale del match, no lo excluye de la política y su action indicada en el
>>>> behavior.
>>>>
>>>> Los invito a hacer un lab xq suena ilógico, pero es así.
>>>>
>>>> El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<gaspozj en is.com.ar>)
>>>> escribió:
>>>>
>>>>>
>>>>> El ACL que especificas es para Identificar el trafico (es el
>>>>> clasificador del tráfico, o sea a que tráfico se le va a aplicar la
>>>>> política), no es que vas a hacer con el trafico (el deny es que no vas a
>>>>> considerar ese trafico para la política a aplicar, no que denegas el
>>>>> trafico).
>>>>>
>>>>> El behavior es si que vas a hacer con el trafico seleccionado, en este
>>>>> caso tiene que ser deny (recorda que lo que vos pones deny en el selector
>>>>> de trafico significa que vos NO le vas a aplicar esta política, por lo que
>>>>> no lo deniega)
>>>>>
>>>>> Y la política la aplicas la aplicas en la interfaz que queres y le das
>>>>> la direccion (entrante , saliente).
>>>>>
>>>>> Saludos
>>>>>
>>>>> Ing. Jose Luis Gaspoz
>>>>> Internet Services S.A.
>>>>> Tel: 0342-4565118
>>>>> Cel: 342-5008523
>>>>>
>>>>> *From:* Ivan Chapero <info en ivanchapero.com.ar>
>>>>> *Sent:* Thursday, December 13, 2018 1:26 AM
>>>>> *To:* lista en arnog.com.ar
>>>>> *Subject:* Re: [Lista ArNOG] Trafficc Policy en Switch L3 de Huawei
>>>>>
>>>>> El deny a nivel de la ACL dropea/niega/filtra siempre sin importar si
>>>>> es un behavior permit o deny.
>>>>>
>>>>> Para lo que querés usar, la "action" del behavior tiene que ser
>>>>> "permit" y la ACL esta bien planteada asi para el classifier.
>>>>>
>>>>> *To specify the packet filtering action for packets matching an ACL
>>>>> rule that defines permit, the action taken for the packets depends on deny
>>>>> or permit in the traffic behavior. If the ACL rule defines deny, the
>>>>> packets are discarded regardless of whether deny or permit is configured in
>>>>> the traffic behavior.*
>>>>>
>>>>>
>>>>> *http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d
>>>>> <http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d>*
>>>>>
>>>>> Si el equipo te lo soporta, podes evitar crear toda una estructura de
>>>>> un policy para un simple filtro, usando traffic-filter a nivel interfaz y
>>>>> linkeando a la ACL:
>>>>>
>>>>>
>>>>>
>>>>> *interface xxxxtraffic-filter* *inbound|outbound* *acl ....*
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<frsoto en gmail.com>)
>>>>> escribió:
>>>>>
>>>>>> Buenas gente, estoy necesitando ayuda con esto.
>>>>>>
>>>>>> Estoy tratando de filtrar un puerto udp para que no llegue a mis
>>>>>> abonados, salvo desde una red mia
>>>>>>
>>>>>> Entonces seria algo asi el acl:
>>>>>>
>>>>>> rule 10 permit udp source 200.1.2.0 0.0.0.255 destination-port eq
>>>>>> 1234
>>>>>>
>>>>>> rule 15 deny udp destination-port eq 1234 source any
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Pero siguiendo el ejemplo del tutorial del Huawei no me queda claro
>>>>>> como aplicarlo en un puerto
>>>>>> Using a Traffic Policy to Filter Packets Preventing a Specified
>>>>>> Device from Accessing a Network
>>>>>>
>>>>>> Prevent the PC at 192.168.1.10 from accessing the network.
>>>>>>
>>>>>>
>>>>>>
>>>>>> <HUAWEI> system-view
>>>>>>
>>>>>> [HUAWEI] acl 2000
>>>>>>
>>>>>> [HUAWEI-acl-basic-2000] rule deny source 192.168.1.10 0.0.0.0
>>>>>>
>>>>>> [HUAWEI-acl-basic-2000] quit
>>>>>>
>>>>>>
>>>>>>
>>>>>> [HUAWEI] traffic classifier c1
>>>>>>
>>>>>> [HUAWEI-classifier-c1] if-match acl 2000
>>>>>>
>>>>>> [HUAWEI-classifier-c1] quit
>>>>>>
>>>>>>
>>>>>>
>>>>>> [HUAWEI] traffic behavior b1
>>>>>>
>>>>>> [HUAWEI-behavior-b1] deny ACA Q PASA SI PONEMOS PERMIT? SI
>>>>>> EL ACL YA DICE DENY. ES COMO Q EL DENY ESTA DOS VECES….
>>>>>>
>>>>>> [HUAWEI-behavior-b1] quit
>>>>>>
>>>>>>
>>>>>>
>>>>>> [HUAWEI] traffic policy p1
>>>>>>
>>>>>> [HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
>>>>>>
>>>>>> [HUAWEI-trafficpolicy-p1] quit
>>>>>>
>>>>>>
>>>>>>
>>>>>> [HUAWEI] interface gigabitethernet 1/0/1
>>>>>>
>>>>>> [HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> Lista mailing list
>>>>>> Lista en arnog.com.ar
>>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>>
>>>>> *Ivan ChaperoÁrea Técnica y Soporte*
>>>>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
>>>>> ID: ivanchapero
>>>>> --
>>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>>>>> Arequito - Santa Fe - Argentina
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Libre
>>>>> de virus. www.avg.com
>>>>> <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>>>> ------------------------------
>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>> _______________________________________________
>>>>> Lista mailing list
>>>>> Lista en arnog.com.ar
>>>>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>>>>
>>>>
>>>>
>>>> --
>>>>
>>>> *Ivan ChaperoÁrea Técnica y Soporte*
>>>> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype
>>>> ID: ivanchapero
>>>> --
>>>> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
>>>> Arequito - Santa Fe - Argentina
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>
>>
>
> --
>
> *Ivan ChaperoÁrea Técnica y Soporte*
> Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
> - Santa Fe - Argentina
>
>
>
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181214/1b85b466/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: wlEmoticon-smile[1].png
Type: image/png
Size: 1046 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20181214/1b85b466/attachment-0001.png>
Más información sobre la lista de distribución Lista