<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)">Si, me llevo a romper trafico cuando migramos, por eso refuerzo que labura muy distinto. Incluso esto tampoco es asi:</div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><span style="color:rgb(0,0,255)"><i><br></i></span></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small"><span style="color:rgb(0,0,255)"><i>"</i></span></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)"><div><span style="color:rgb(0,0,255)"><i>El behavior es si que vas a hacer con el trafico seleccionado, en este caso
tiene que ser deny (recorda que lo que vos pones deny en el selector de trafico
significa que vos NO le vas a aplicar esta política, por lo que no lo
deniega) "</i></span><br></div></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)">Un behavior en deny, genera una acción de packet-filtering que niega el packet. No excluye la clase vinculada de la política tampoco.<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)"><div><img src="cid:ii_jpmwijv40" alt="imagen.png" style="margin-right: 25px;"><br></div></div><div><br></div><div><br></div><div><div style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)" class="gmail_default"><a href="http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering">http://support.huawei.com/enterprise/en/doc/EDOC1000178175/830e0b75/configuring-packet-filtering</a><br></div><div style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)" class="gmail_default"><br></div><div style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)" class="gmail_default"><br></div><div style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)" class="gmail_default">Abrazo!</div><div style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)" class="gmail_default"></div><br></div><div class="gmail_quote"><div dir="ltr">El jue., 13 dic. 2018 a las 14:49, Jose Luis Gaspoz (<<a href="mailto:gaspozj@is.com.ar">gaspozj@is.com.ar</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">
<div dir="ltr">
<div style="font-size:12pt;font-family:"Calibri";color:rgb(0,0,0)">
<div> </div>
<div>Ja.... desanden mi explicación entonces..... yo hice un simple comparativo
lógico con las politicas de Cisco porque es “en su estructura” idéntica.</div>
<div> </div>
<div>Sorry.</div>
<div> </div>
<div>Saludos</div>
<div> </div>
<div style="font-size:12pt;font-family:"Calibri";color:rgb(0,0,0)">Ing. Jose
Luis Gaspoz<br>Internet Services S.A.<br>Tel: 0342-4565118<br>Cel:
342-5008523</div>
<div style="font-size:small;text-decoration:none;font-family:"Calibri";font-weight:normal;color:rgb(0,0,0);font-style:normal;display:inline">
<div style="font:10pt tahoma">
<div> </div>
<div style="background:rgb(245,245,245) none repeat scroll 0% 0%">
<div><b>From:</b> <a title="info@ivanchapero.com.ar" href="mailto:info@ivanchapero.com.ar" target="_blank">Ivan Chapero</a> </div>
<div><b>Sent:</b> Thursday, December 13, 2018 2:42 PM</div>
<div><b>To:</b> <a title="lista@arnog.com.ar" href="mailto:lista@arnog.com.ar" target="_blank">lista@arnog.com.ar</a> ; <a title="gaspozj@is.com.ar" href="mailto:gaspozj@is.com.ar" target="_blank">Jose Luis Gaspoz</a>
</div>
<div><b>Subject:</b> Re: [Lista ArNOG] Trafficc Policy en Switch L3 de
Huawei</div></div></div>
<div> </div></div>
<div style="font-size:small;text-decoration:none;font-family:"Calibri";font-weight:normal;color:rgb(0,0,0);font-style:normal;display:inline">
<div dir="ltr">
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">Jose
Luis, <br></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">en el
MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras plataformas.
El deny en la ACL aplicada a la clase te niega el packet y sale del match, no lo
excluye de la política y su action indicada en el behavior. <br></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"> </div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">Los
invito a hacer un lab xq suena ilógico, pero es así.<br></div></div>
<div> </div>
<div class="gmail_quote">
<div dir="ltr">El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>>) escribió:<br></div>
<blockquote class="gmail_quote" style="padding-left:1ex;margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204)">
<div dir="ltr">
<div dir="ltr">
<div style="font-size:12pt;font-family:"Calibri";color:rgb(0,0,0)">
<div> </div>
<div>El ACL que especificas es para Identificar el trafico (es el clasificador
del tráfico, o sea a que tráfico se le va a aplicar la política), no es que
vas a hacer con el trafico (el deny es que no vas a considerar ese trafico
para la política a aplicar, no que denegas el trafico).</div>
<div> </div>
<div>El behavior es si que vas a hacer con el trafico seleccionado, en este
caso tiene que ser deny (recorda que lo que vos pones deny en el selector de
trafico significa que vos NO le vas a aplicar esta política, por lo que no lo
deniega)</div>
<div> </div>
<div>Y la política la aplicas la aplicas en la interfaz que queres y le das la
direccion (entrante , saliente).</div>
<div> </div>
<div>Saludos</div>
<div> </div>
<div style="font-size:12pt;font-family:"Calibri";color:rgb(0,0,0)">Ing.
Jose Luis Gaspoz<br>Internet Services S.A.<br>Tel: 0342-4565118<br>Cel:
342-5008523</div>
<div style="font-size:small;text-decoration:none;font-family:"Calibri";font-weight:normal;color:rgb(0,0,0);font-style:normal;display:inline">
<div style="font:10pt tahoma">
<div> </div>
<div style="background:rgb(245,245,245) none repeat scroll 0% 0%">
<div><b>From:</b> <a title="info@ivanchapero.com.ar" href="mailto:info@ivanchapero.com.ar" target="_blank">Ivan Chapero</a> </div>
<div><b>Sent:</b> Thursday, December 13, 2018 1:26 AM</div>
<div><b>To:</b> <a title="lista@arnog.com.ar" href="mailto:lista@arnog.com.ar" target="_blank">lista@arnog.com.ar</a> </div>
<div><b>Subject:</b> Re: [Lista ArNOG] Trafficc Policy en Switch L3 de
Huawei</div></div></div>
<div> </div></div>
<div style="font-size:small;text-decoration:none;font-family:"Calibri";font-weight:normal;color:rgb(0,0,0);font-style:normal;display:inline">
<div dir="ltr">
<div dir="ltr">
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">El
deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un
behavior permit o deny. <br></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"> </div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">Para
lo que querés usar, la "action" del behavior tiene que ser "permit" y la ACL
esta bien planteada asi para el classifier.</div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"> </div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i>To
specify the packet filtering action for packets matching an ACL rule that
defines <b>permit</b>, the action taken for the packets depends on
<b><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-cmdname">deny</span></b> or
<b><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-cmdname">permit</span></b> in
the traffic behavior. If the ACL rule defines <b>deny</b>, the
packets are discarded regardless of whether <b><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-cmdname">deny</span></b> or <b><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-cmdname">permit</span></b> is configured
in the traffic behavior.</i></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i><br></i></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i><a href="http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d" target="_blank">http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d</a><br></i></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i><br></i></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)">Si
el equipo te lo soporta, podes evitar crear toda una estructura de un policy
para un simple filtro, usando traffic-filter a nivel interfaz y linkeando a la
ACL:</div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"> </div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><pre class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-screen"><b><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-cmdname">interface xxxx<br>traffic-<b><i>filter</i></b></span></b><b><span></span></b><i><span class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-varname"></span></i> <b><span>inbound|outbound</span></b> <b><span>acl ....</span></b></pre></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i><br></i></div>
<div style="font-size:small;font-family:tahoma,sans-serif;color:rgb(0,0,0)"><i><br></i></div></div></div>
<div> </div>
<div class="gmail_quote">
<div dir="ltr">El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<<a href="mailto:frsoto@gmail.com" target="_blank">frsoto@gmail.com</a>>)
escribió:<br></div>
<blockquote class="gmail_quote" style="padding-left:1ex;margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204)">
<div lang="ES-AR">
<div class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227WordSection1">
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%" lang="ES">Buenas
gente, estoy necesitando ayuda con esto.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%" lang="ES">Estoy
tratando de filtrar un puerto udp para que no llegue a mis abonados, salvo
desde una red mia<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%">Entonces
seria algo asi el acl:<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">rule 10 <span style="color:rgb(192,0,0)">permit</span> udp
source 200.1.2.0 0.0.0.255 destination-port eq 1234<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">rule 15 <span style="color:rgb(192,0,0)">deny </span>udp
destination-port eq 1234 source any<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%" lang="EN-US"><u></u><u></u></span> </p>
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%" lang="EN-US"><u></u><u></u></span> </p>
<p class="MsoNormal"><span style="font-size:14pt;font-family:"Calibri",sans-serif;line-height:115%">Pero
siguiendo el ejemplo del tutorial del Huawei no me queda claro como
aplicarlo en un puerto<u></u><u></u></span></p>
<h2><a name="m_-9014473477585245244_m_8511822800107954774_m_-7779563770538286227__Toc526945948"><span lang="EN-US">Using a Traffic Policy to Filter
Packets</span></a><span></span><span style="font-size:16pt" lang="EN-US"><u></u><u></u></span></h2>
<h3><a name="m_-9014473477585245244_m_8511822800107954774_m_-7779563770538286227__Toc526945949"><span lang="EN-US">Preventing a Specified Device from Accessing a
Network</span></a><span lang="EN-US"><u></u><u></u></span></h3>
<p class="MsoNormal"><span lang="EN-US">Prevent the PC at 192.168.1.10 from
accessing the network.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><HUAWEI> system-view<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI] acl 2000<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-acl-basic-2000] rule <span style="color:rgb(192,0,0)">deny</span> source 192.168.1.10
0.0.0.0<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-acl-basic-2000] quit<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI] traffic classifier c1<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-classifier-c1] if-match acl 2000<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-classifier-c1] quit<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI] traffic behavior b1<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola">[HUAWEI-behavior-b1]
deny <span style="color:rgb(192,0,0)">ACA Q PASA SI PONEMOS PERMIT? SI EL ACL YA DICE
DENY. ES COMO Q EL DENY ESTA DOS VECES….</span><u></u><u></u></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-behavior-b1] quit<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI] traffic policy p1<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-trafficpolicy-p1] classifier c1 behavior
b1<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-trafficpolicy-p1] quit<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI] interface gigabitethernet 1/0/1<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US">[HUAWEI-GigabitEthernet1/0/1] traffic-policy p1
inbound<u></u><u></u></span></p>
<p class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola"><span lang="EN-US"><u></u><u></u></span> </p>
<p class="MsoNormal"><span lang="EN-US"><u></u><u></u></span> </p></div></div>_______________________________________________<br>Lista
mailing list<br><a href="mailto:Lista@arnog.com.ar" target="_blank">Lista@arnog.com.ar</a><br><a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" rel="noreferrer" target="_blank">http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</a><br></blockquote></div><br clear="all"><br>-- <br>
<div class="gmail-m_-9014473477585245244gmail-m_8511822800107954774gmail_signature" dir="ltr">
<div dir="ltr"><b>Ivan Chapero<br><span style="color:rgb(102,102,102)">Área
Técnica y Soporte</span></b><span style="color:rgb(102,102,102)"> </span><br style="color:rgb(102,102,102)"><span style="color:rgb(102,102,102)">Fijo:
03464-470280 (interno 535)</span> | <span style="color:rgb(102,102,102)">Móvil: 03464-155-20282</span> |
<span style="color:rgb(102,102,102)">Skype ID: ivanchapero</span>
<div><span style="color:rgb(102,102,102)">--</span><br style="color:rgb(102,102,102)">
<div style="text-align:center"><span style="color:rgb(102,102,102)">GoDATA
Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe
- Argentina</span></div><br><br><br><br><br><br><br></div></div></div>
<div id="gmail-m_-9014473477585245244gmail-m_8511822800107954774DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br>
<table style="border-top:1px solid rgb(211,212,222);color:rgb(0,0,0)">
<tbody>
<tr>
<td style="width:55px;padding-top:18px"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><img style="height: 29px; width: 46px;" alt="" src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png" width="46" height="29"></a></td>
<td style="font-size:13px;font-family:arial,helvetica,sans-serif;width:470px;color:rgb(65,66,78);padding-top:17px;line-height:18px">Libre
de virus. <a style="color:rgb(68,83,234)" href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank">www.avg.com</a> </td></tr></tbody></table></div>
<hr>
_______________________________________________<br>Lista mailing list<br><a href="mailto:Lista@arnog.com.ar" target="_blank">Lista@arnog.com.ar</a><br><a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" target="_blank">http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</a><br></div></div></div></div>_______________________________________________<br>Lista
mailing list<br><a href="mailto:Lista@arnog.com.ar" target="_blank">Lista@arnog.com.ar</a><br><a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" rel="noreferrer" target="_blank">http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</a><br></blockquote></div><br clear="all"><br>-- <br>
<div class="gmail-m_-9014473477585245244gmail_signature" dir="ltr">
<div dir="ltr"><b>Ivan Chapero<br><span style="color:rgb(102,102,102)">Área
Técnica y Soporte</span></b><span style="color:rgb(102,102,102)"> </span><br style="color:rgb(102,102,102)"><span style="color:rgb(102,102,102)">Fijo:
03464-470280 (interno 535)</span> | <span style="color:rgb(102,102,102)">Móvil: 03464-155-20282</span> |
<span style="color:rgb(102,102,102)">Skype ID: ivanchapero</span>
<div><span style="color:rgb(102,102,102)">--</span><br style="color:rgb(102,102,102)">
<div style="text-align:center"><span style="color:rgb(102,102,102)">GoDATA
Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe -
Argentina</span></div><br><br><br><br><br><br><br></div></div></div></div></div></div></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><b>Ivan Chapero<br><span style="color:rgb(102,102,102)">Área Técnica y Soporte</span></b><span style="color:rgb(102,102,102)"> </span><br style="color:rgb(102,102,102)"><span style="color:rgb(102,102,102)">Fijo: 03464-470280 (interno 535)</span> | <span style="color:rgb(102,102,102)">Móvil: 03464-155-20282</span> | <span style="color:rgb(102,102,102)">Skype ID: ivanchapero</span><div><span style="color:rgb(102,102,102)">--</span><br style="color:rgb(102,102,102)"><div style="text-align:center"><span style="color:rgb(102,102,102)">GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span></div><br><br><br><br><br><br><br></div></div></div></div></div>