Jump to content
Калькуляторы

изящный ACL для Huawei возможно ли это?

Reply to this topic

antoninho   

antoninho
Posted

Всем привет!

Надеюсь, здесь есть умельцы настраивать оборудование Huawei (конкретно High-end router'а типа NE40E&80E)..?

Например как настроить красивый ACL в этом создании, который бы пропускал к примеру множество icmp-type'ов на, скажем, 50 префиксов. Как-то я не соображу после трех дней его ковыряния, как это сделать, не написав кучу правил для каждого префикса и каждого icmp-Типа.

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

Может, конечно, я очень много хочу от этого роутера, и тем не менее, поделитесь опытом. Если у кого есть примеры сложных конфигов для подобных железок, был бы очень признателен за шаринг (korlatyanu@mail.ru).

Спасибо заранее!

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

 

а на каких железках такое возможно? (кроме софтроутеров)

Share this post

Link to post
Share on other sites

antoninho   

antoninho
Posted (edited)

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

 

а на каких железках такое возможно? (кроме софтроутеров)

 

Cisco 65xx:

s2100(config-route-map)#match ip address 1300 1301 ?

<1-199> IP access-list number

<1300-2699> IP access-list number (expanded range)

WORD IP access-list name

Juniper MX:

term ICMP {

from {

destination-address {

prefix/1;

....

prefix/50;

}

protocol icmp;

icmp-type [ echo-reply echo-request parameter-problem time-exceeded unreachable ];

}

then accept;

Ну и на интерфейсе можно много ACL написать, которые работают как "И".

show configuration interfaces ae0 unit 0 family inet filter

input-list [ BORDER-IN MSKIX ];

output-list [ BORDER-OUT MSKIX MSKIX-OUT ];

Edited by antoninho

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

На Cisco не пробовал такое, спасибо, буду знать.

 

На Juniper это сложно назвать 2 ACL с условием 'И', но вашу задачу действительно решает

 

Huawei S9300 даёт изобразить то, что вы хотите

 

[s9300]dis acl 3200

Advanced ACL 3200, 2 rules

Acl's step is 5

rule 0 permit icmp icmp-type port-unreachable

rule 10 permit icmp icmp-type host-unreachable

 

[s9300]dis acl 3201

Advanced ACL 3201, 2 rules

Acl's step is 5

rule 0 permit ip source 1.1.1.0 0.0.0.255

rule 1 permit ip source 2.2.2.0 0.0.0.255

 

[s9300]dis cur conf classifier test8

#

traffic classifier test8 operator and precedence 10

if-match acl 3200

if-match acl 3201

#

return

[s9300]dis cur conf beh PERMIT

#

traffic behavior PERMIT

statistic enable

#

return

[s9300]dis cur conf trafficpolicy test8

#

traffic policy test8

classifier test8 behavior PERMIT

#

return

Share this post

Link to post
Share on other sites

antoninho   

antoninho
Posted (edited)

 

Huawei S9300 даёт изобразить то, что вы хотите

 

Спасибо!

 

Вот ведь негодяи! В моем случае это выглядит так:

[host]traffic classifier TEST operator and

[host-classifier-TEST]if-match acl name ACCEPT-ICMP

[host-classifier-TEST]if-match acl name MY-PEER-ADDR ?

<cr>

 

[host-classifier-TEST]if-match acl name MY-PEER-ADDR

Error: Only one acl can be configured in this classifier.

[host-classifier-TEST]

[host-classifier-TEST]

[host-classifier-TEST]dis ver

Huawei Versatile Routing Platform Software

VRP ® software, Version 5.160 (NE40E&80E V600R008C10SPC300)

Copyright © 2000-2014 Huawei Technologies Co., Ltd.

HUAWEI NE40E-X8 uptime is 3 days, 5 hours, 18 minutes

NE40E-X8 version information:

 

Недоделали =)

Edited by antoninho

Share this post

Link to post
Share on other sites

dazgluk   

dazgluk
Posted

с неименованными acl та же фигня?

Да, как минимум на версии софта V600R001 не получается

[sPB-NE40E-IXR01-classifier-test]if-match acl 3001
Error: Only one acl can be configured in this classifier.

Share this post

Link to post
Share on other sites

antoninho   

antoninho
Posted

зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял.

 

Там то однозначно "ИЛИ", иначе какой в нем смысл.

Share this post

Link to post
Share on other sites

sio   

sio
Posted

зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял.

 

Там то однозначно "ИЛИ", иначе какой в нем смысл.

Проверил - работает как "ИЛИ" :(

Share this post

Link to post
Share on other sites

antoninho   

antoninho
Posted (edited)

Написал в Huawei, вот что ни ответили:

 

Hello, Anton

 

In our device we could not biding two different ACL in one classifier, but in our device, we could create lots of different rules, such as

 

Acl 3000

Rule 5 ................

Rule 10 ..................

 

And so on.

 

If you need meet all the condition for one classifier, we suggest create a acl like this.

 

Не понятно, зачем вообще нужен тогда этот самый classifier, лишним звеном имхо выступает. В общем, изящно с этой железкой нельзя, только много-много многострочных ACL'ей, как выяснилось.

Edited by antoninho

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...