antoninho Posted January 23, 2015 · Report post Всем привет! Надеюсь, здесь есть умельцы настраивать оборудование Huawei (конкретно High-end router'а типа NE40E&80E)..? Например как настроить красивый ACL в этом создании, который бы пропускал к примеру множество icmp-type'ов на, скажем, 50 префиксов. Как-то я не соображу после трех дней его ковыряния, как это сделать, не написав кучу правил для каждого префикса и каждого icmp-Типа. Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними.. Может, конечно, я очень много хочу от этого роутера, и тем не менее, поделитесь опытом. Если у кого есть примеры сложных конфигов для подобных железок, был бы очень признателен за шаринг (korlatyanu@mail.ru). Спасибо заранее! Share this post Link to post Share on other sites
s.lobanov Posted January 23, 2015 · Report post Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними.. а на каких железках такое возможно? (кроме софтроутеров) Share this post Link to post Share on other sites
antoninho Posted January 23, 2015 (edited) · Report post Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними.. а на каких железках такое возможно? (кроме софтроутеров) Cisco 65xx: s2100(config-route-map)#match ip address 1300 1301 ? <1-199> IP access-list number <1300-2699> IP access-list number (expanded range) WORD IP access-list name Juniper MX: term ICMP { from { destination-address { prefix/1; .... prefix/50; } protocol icmp; icmp-type [ echo-reply echo-request parameter-problem time-exceeded unreachable ]; } then accept; Ну и на интерфейсе можно много ACL написать, которые работают как "И". show configuration interfaces ae0 unit 0 family inet filter input-list [ BORDER-IN MSKIX ]; output-list [ BORDER-OUT MSKIX MSKIX-OUT ]; Edited January 23, 2015 by antoninho Share this post Link to post Share on other sites
s.lobanov Posted January 23, 2015 · Report post На Cisco не пробовал такое, спасибо, буду знать. На Juniper это сложно назвать 2 ACL с условием 'И', но вашу задачу действительно решает Huawei S9300 даёт изобразить то, что вы хотите [s9300]dis acl 3200Advanced ACL 3200, 2 rules Acl's step is 5 rule 0 permit icmp icmp-type port-unreachable rule 10 permit icmp icmp-type host-unreachable [s9300]dis acl 3201 Advanced ACL 3201, 2 rules Acl's step is 5 rule 0 permit ip source 1.1.1.0 0.0.0.255 rule 1 permit ip source 2.2.2.0 0.0.0.255 [s9300]dis cur conf classifier test8 # traffic classifier test8 operator and precedence 10 if-match acl 3200 if-match acl 3201 # return [s9300]dis cur conf beh PERMIT # traffic behavior PERMIT statistic enable # return [s9300]dis cur conf trafficpolicy test8 # traffic policy test8 classifier test8 behavior PERMIT # return Share this post Link to post Share on other sites
antoninho Posted January 23, 2015 (edited) · Report post Huawei S9300 даёт изобразить то, что вы хотите Спасибо! Вот ведь негодяи! В моем случае это выглядит так: [host]traffic classifier TEST operator and [host-classifier-TEST]if-match acl name ACCEPT-ICMP [host-classifier-TEST]if-match acl name MY-PEER-ADDR ? <cr> [host-classifier-TEST]if-match acl name MY-PEER-ADDR Error: Only one acl can be configured in this classifier. [host-classifier-TEST] [host-classifier-TEST] [host-classifier-TEST]dis ver Huawei Versatile Routing Platform Software VRP ® software, Version 5.160 (NE40E&80E V600R008C10SPC300) Copyright © 2000-2014 Huawei Technologies Co., Ltd. HUAWEI NE40E-X8 uptime is 3 days, 5 hours, 18 minutes NE40E-X8 version information: Недоделали =) Edited January 23, 2015 by antoninho Share this post Link to post Share on other sites
s.lobanov Posted January 23, 2015 · Report post с неименованными acl та же фигня? Share this post Link to post Share on other sites
dazgluk Posted January 24, 2015 · Report post с неименованными acl та же фигня? Да, как минимум на версии софта V600R001 не получается [sPB-NE40E-IXR01-classifier-test]if-match acl 3001 Error: Only one acl can be configured in this classifier. Share this post Link to post Share on other sites
sio Posted January 26, 2015 · Report post зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял. Share this post Link to post Share on other sites
antoninho Posted January 26, 2015 · Report post зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял. Там то однозначно "ИЛИ", иначе какой в нем смысл. Share this post Link to post Share on other sites
sio Posted January 26, 2015 · Report post зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял. Там то однозначно "ИЛИ", иначе какой в нем смысл. Проверил - работает как "ИЛИ" :( Share this post Link to post Share on other sites
antoninho Posted January 27, 2015 (edited) · Report post Написал в Huawei, вот что ни ответили: Hello, Anton In our device we could not biding two different ACL in one classifier, but in our device, we could create lots of different rules, such as Acl 3000 Rule 5 ................ Rule 10 .................. And so on. If you need meet all the condition for one classifier, we suggest create a acl like this. Не понятно, зачем вообще нужен тогда этот самый classifier, лишним звеном имхо выступает. В общем, изящно с этой железкой нельзя, только много-много многострочных ACL'ей, как выяснилось. Edited January 27, 2015 by antoninho Share this post Link to post Share on other sites
fomka31ru Posted January 27, 2015 · Report post С точки зрения юзабили джун вне конкуренции. Share this post Link to post Share on other sites
