<HTML><HEAD></HEAD>
<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV> </DIV>
<DIV>Ja.... desanden mi explicación entonces..... yo hice un simple comparativo
lógico con las politicas de Cisco porque es “en su estructura” idéntica.</DIV>
<DIV> </DIV>
<DIV>Sorry.</DIV>
<DIV> </DIV>
<DIV>Saludos</DIV>
<DIV> </DIV>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">Ing. Jose
Luis Gaspoz<BR>Internet Services S.A.<BR>Tel: 0342-4565118<BR>Cel:
342-5008523</DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=info@ivanchapero.com.ar
href="mailto:info@ivanchapero.com.ar">Ivan Chapero</A> </DIV>
<DIV><B>Sent:</B> Thursday, December 13, 2018 2:42 PM</DIV>
<DIV><B>To:</B> <A title=lista@arnog.com.ar
href="mailto:lista@arnog.com.ar">lista@arnog.com.ar</A> ; <A
title=gaspozj@is.com.ar href="mailto:gaspozj@is.com.ar">Jose Luis Gaspoz</A>
</DIV>
<DIV><B>Subject:</B> Re: [Lista ArNOG] Trafficc Policy en Switch L3 de
Huawei</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV dir=ltr>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: #000000">Jose
Luis, <BR></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: #000000">en el
MQC de Huawei no sigue la lógica (mas lógica por cierto) que otras plataformas.
El deny en la ACL aplicada a la clase te niega el packet y sale del match, no lo
excluye de la política y su action indicada en el behavior. <BR></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: #000000"> </DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: #000000">Los
invito a hacer un lab xq suena ilógico, pero es así.<BR></DIV></DIV>
<DIV> </DIV>
<DIV class=gmail_quote>
<DIV dir=ltr>El jue., 13 dic. 2018 a las 9:55, Jose Luis Gaspoz (<<A
href="mailto:gaspozj@is.com.ar">gaspozj@is.com.ar</A>>) escribió:<BR></DIV>
<BLOCKQUOTE class=gmail_quote
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<DIV dir=ltr>
<DIV dir=ltr>
<DIV style='FONT-SIZE: 12pt; FONT-FAMILY: "Calibri"; COLOR: rgb(0,0,0)'>
<DIV> </DIV>
<DIV>El ACL que especificas es para Identificar el trafico (es el clasificador
del tráfico, o sea a que tráfico se le va a aplicar la política), no es que
vas a hacer con el trafico (el deny es que no vas a considerar ese trafico
para la política a aplicar, no que denegas el trafico).</DIV>
<DIV> </DIV>
<DIV>El behavior es si que vas a hacer con el trafico seleccionado, en este
caso tiene que ser deny (recorda que lo que vos pones deny en el selector de
trafico significa que vos NO le vas a aplicar esta política, por lo que no lo
deniega)</DIV>
<DIV> </DIV>
<DIV>Y la política la aplicas la aplicas en la interfaz que queres y le das la
direccion (entrante , saliente).</DIV>
<DIV> </DIV>
<DIV>Saludos</DIV>
<DIV> </DIV>
<DIV style='FONT-SIZE: 12pt; FONT-FAMILY: "Calibri"; COLOR: rgb(0,0,0)'>Ing.
Jose Luis Gaspoz<BR>Internet Services S.A.<BR>Tel: 0342-4565118<BR>Cel:
342-5008523</DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: rgb(0,0,0); FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: rgb(245,245,245)">
<DIV><B>From:</B> <A title=info@ivanchapero.com.ar
href="mailto:info@ivanchapero.com.ar" target=_blank>Ivan Chapero</A> </DIV>
<DIV><B>Sent:</B> Thursday, December 13, 2018 1:26 AM</DIV>
<DIV><B>To:</B> <A title=lista@arnog.com.ar href="mailto:lista@arnog.com.ar"
target=_blank>lista@arnog.com.ar</A> </DIV>
<DIV><B>Subject:</B> Re: [Lista ArNOG] Trafficc Policy en Switch L3 de
Huawei</DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: rgb(0,0,0); FONT-STYLE: normal; DISPLAY: inline'>
<DIV dir=ltr>
<DIV dir=ltr>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)">El
deny a nivel de la ACL dropea/niega/filtra siempre sin importar si es un
behavior permit o deny. <BR></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"> </DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)">Para
lo que querés usar, la "action" del behavior tiene que ser "permit" y la ACL
esta bien planteada asi para el classifier.</DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"> </DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I>To
specify the packet filtering action for packets matching an ACL rule that
defines <STRONG>permit</STRONG>, the action taken for the packets depends on
<B><SPAN class=gmail-m_8511822800107954774gmail-cmdname>deny</SPAN></B> or
<B><SPAN class=gmail-m_8511822800107954774gmail-cmdname>permit</SPAN></B> in
the traffic behavior. If the ACL rule defines <STRONG>deny</STRONG>, the
packets are discarded regardless of whether <B><SPAN
class=gmail-m_8511822800107954774gmail-cmdname>deny</SPAN></B> or <B><SPAN
class=gmail-m_8511822800107954774gmail-cmdname>permit</SPAN></B> is configured
in the traffic behavior.</I></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I><BR></I></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I><A
href="http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d"
target=_blank>http://support.huawei.com/enterprise/en/doc/EDOC1000088754?section=j00d</A><BR></I></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I><BR></I></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)">Si
el equipo te lo soporta, podes evitar crear toda una estructura de un policy
para un simple filtro, usando traffic-filter a nivel interfaz y linkeando a la
ACL:</DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"> </DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><PRE class=gmail-m_8511822800107954774gmail-screen><B><SPAN class=gmail-m_8511822800107954774gmail-cmdname>interface xxxx<BR>traffic-<STRONG><I>filter</I></STRONG></SPAN></B><STRONG><SPAN></SPAN></STRONG><I><SPAN class=gmail-m_8511822800107954774gmail-varname></SPAN></I> <STRONG><SPAN>inbound|outbound</SPAN></STRONG> <STRONG><SPAN>acl ....</SPAN></STRONG></PRE></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I><BR></I></DIV>
<DIV class=gmail_default
style="FONT-SIZE: small; FONT-FAMILY: tahoma,sans-serif; COLOR: rgb(0,0,0)"><I><BR></I></DIV></DIV></DIV>
<DIV> </DIV>
<DIV class=gmail_quote>
<DIV dir=ltr>El mié., 12 dic. 2018 a las 22:51, Fernando Soto (<<A
href="mailto:frsoto@gmail.com" target=_blank>frsoto@gmail.com</A>>)
escribió:<BR></DIV>
<BLOCKQUOTE class=gmail_quote
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<DIV lang=ES-AR>
<DIV
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227WordSection1>
<P class=MsoNormal><SPAN lang=ES
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'>Buenas
gente, estoy necesitando ayuda con esto.<U></U><U></U></SPAN></P>
<P class=MsoNormal><SPAN lang=ES
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'>Estoy
tratando de filtrar un puerto udp para que no llegue a mis abonados, salvo
desde una red mia<U></U><U></U></SPAN></P>
<P class=MsoNormal><SPAN
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'>Entonces
seria algo asi el acl:<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>rule 10 <SPAN style="COLOR: rgb(192,0,0)">permit</SPAN> udp
source 200.1.2.0 0.0.0.255 destination-port eq 1234<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>rule 15 <SPAN style="COLOR: rgb(192,0,0)">deny </SPAN>udp
destination-port eq 1234 source any<U></U><U></U></SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'><U></U><U></U></SPAN> </P>
<P class=MsoNormal><SPAN lang=EN-US
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'><U></U><U></U></SPAN> </P>
<P class=MsoNormal><SPAN
style='FONT-SIZE: 14pt; FONT-FAMILY: "Calibri",sans-serif; LINE-HEIGHT: 115%'>Pero
siguiendo el ejemplo del tutorial del Huawei no me queda claro como
aplicarlo en un puerto<U></U><U></U></SPAN></P>
<H2><A name=m_8511822800107954774_m_-7779563770538286227__Toc526945948><SPAN
lang=EN-US>Using a Traffic Policy to Filter
Packets</SPAN></A><SPAN></SPAN><SPAN lang=EN-US
style="FONT-SIZE: 16pt"><U></U><U></U></SPAN></H2>
<H3><A name=m_8511822800107954774_m_-7779563770538286227__Toc526945949><SPAN
lang=EN-US>Preventing a Specified Device from Accessing a
Network</SPAN></A><SPAN lang=EN-US><U></U><U></U></SPAN></H3>
<P class=MsoNormal><SPAN lang=EN-US>Prevent the PC at 192.168.1.10 from
accessing the network.<U></U><U></U></SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US><U></U><U></U></SPAN> </P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><HUAWEI> system-view<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI] acl 2000<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-acl-basic-2000] rule <SPAN
style="COLOR: rgb(192,0,0)">deny</SPAN> source 192.168.1.10
0.0.0.0<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-acl-basic-2000] quit<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><U></U><U></U></SPAN> </P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI] traffic classifier c1<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-classifier-c1] if-match acl 2000<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-classifier-c1] quit<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><U></U><U></U></SPAN> </P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI] traffic behavior b1<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola>[HUAWEI-behavior-b1]
deny <SPAN
style="COLOR: rgb(192,0,0)">ACA Q PASA SI PONEMOS PERMIT? SI EL ACL YA DICE
DENY. ES COMO Q EL DENY ESTA DOS VECES….</SPAN><U></U><U></U></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-behavior-b1] quit<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><U></U><U></U></SPAN> </P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI] traffic policy p1<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-trafficpolicy-p1] classifier c1 behavior
b1<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-trafficpolicy-p1] quit<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><U></U><U></U></SPAN> </P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI] interface gigabitethernet 1/0/1<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US>[HUAWEI-GigabitEthernet1/0/1] traffic-policy p1
inbound<U></U><U></U></SPAN></P>
<P
class=gmail-m_8511822800107954774gmail-m_-7779563770538286227Consola><SPAN
lang=EN-US><U></U><U></U></SPAN> </P>
<P class=MsoNormal><SPAN
lang=EN-US><U></U><U></U></SPAN> </P></DIV></DIV>_______________________________________________<BR>Lista
mailing list<BR><A href="mailto:Lista@arnog.com.ar"
target=_blank>Lista@arnog.com.ar</A><BR><A
href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista"
rel=noreferrer
target=_blank>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</A><BR></BLOCKQUOTE></DIV><BR
clear=all><BR>-- <BR>
<DIV class=gmail-m_8511822800107954774gmail_signature dir=ltr>
<DIV dir=ltr><B>Ivan Chapero<BR><SPAN style="COLOR: rgb(102,102,102)">Área
Técnica y Soporte</SPAN></B><SPAN style="COLOR: rgb(102,102,102)"> </SPAN><BR
style="COLOR: rgb(102,102,102)"><SPAN style="COLOR: rgb(102,102,102)">Fijo:
03464-470280 (interno 535)</SPAN> | <SPAN
style="COLOR: rgb(102,102,102)">Móvil: 03464-155-20282</SPAN> |
<SPAN style="COLOR: rgb(102,102,102)">Skype ID: ivanchapero</SPAN>
<DIV><SPAN style="COLOR: rgb(102,102,102)">--</SPAN><BR
style="COLOR: rgb(102,102,102)">
<DIV style="TEXT-ALIGN: center"><SPAN style="COLOR: rgb(102,102,102)">GoDATA
Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe
- Argentina</SPAN></DIV><BR><BR><BR><BR><BR><BR><BR></DIV></DIV></DIV>
<DIV id=gmail-m_8511822800107954774DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2><BR>
<TABLE style="BORDER-TOP: rgb(211,212,222) 1px solid; COLOR: rgb(0,0,0)">
<TBODY>
<TR>
<TD style="WIDTH: 55px; PADDING-TOP: 18px"><A
href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target=_blank><IMG style="HEIGHT: 29px; WIDTH: 46px" alt=""
src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png"
width=46 height=29></A></TD>
<TD
style="FONT-SIZE: 13px; FONT-FAMILY: arial,helvetica,sans-serif; WIDTH: 470px; COLOR: rgb(65,66,78); PADDING-TOP: 17px; LINE-HEIGHT: 18px">Libre
de virus. <A style="COLOR: rgb(68,83,234)"
href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target=_blank>www.avg.com</A> </TD></TR></TBODY></TABLE></DIV>
<HR>
_______________________________________________<BR>Lista mailing list<BR><A
href="mailto:Lista@arnog.com.ar" target=_blank>Lista@arnog.com.ar</A><BR><A
href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista"
target=_blank>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</A><BR></DIV></DIV></DIV></DIV>_______________________________________________<BR>Lista
mailing list<BR><A href="mailto:Lista@arnog.com.ar"
target=_blank>Lista@arnog.com.ar</A><BR><A
href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista"
rel=noreferrer
target=_blank>http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista</A><BR></BLOCKQUOTE></DIV><BR
clear=all><BR>-- <BR>
<DIV class=gmail_signature dir=ltr>
<DIV dir=ltr><B>Ivan Chapero<BR><SPAN style="COLOR: rgb(102,102,102)">Área
Técnica y Soporte</SPAN></B><SPAN style="COLOR: rgb(102,102,102)"> </SPAN><BR
style="COLOR: rgb(102,102,102)"><SPAN style="COLOR: rgb(102,102,102)">Fijo:
03464-470280 (interno 535)</SPAN> | <SPAN
style="COLOR: rgb(102,102,102)">Móvil: 03464-155-20282</SPAN> |
<SPAN style="COLOR: rgb(102,102,102)">Skype ID: ivanchapero</SPAN>
<DIV><SPAN style="COLOR: rgb(102,102,102)">--</SPAN><BR
style="COLOR: rgb(102,102,102)">
<DIV style="TEXT-ALIGN: center"><SPAN style="COLOR: rgb(102,102,102)">GoDATA
Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe -
Argentina</SPAN></DIV><BR><BR><BR><BR><BR><BR><BR></DIV></DIV></DIV></DIV></DIV></DIV></BODY></HTML>