[antoninho]

Всем привет!

Надеюсь, здесь есть умельцы настраивать оборудование Huawei (конкретно High-end router'а типа NE40E&80E)..?

Например как настроить красивый ACL в этом создании, который бы пропускал к примеру множество icmp-type'ов на, скажем, 50 префиксов. Как-то я не соображу после трех дней его ковыряния, как это сделать, не написав кучу правил для каждого префикса и каждого icmp-Типа.

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

Может, конечно, я очень много хочу от этого роутера, и тем не менее, поделитесь опытом. Если у кого есть примеры сложных конфигов для подобных железок, был бы очень признателен за шаринг (korlatyanu@mail.ru).

Спасибо заранее!

[s.lobanov]

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

 

а на каких железках такое возможно? (кроме софтроутеров)

[antoninho]

Есть вот возможность сделать 'traffic classifier operator and', но в нем нельзя указать два ACL, чтобы он сделал логическое 'И' с ними..

 

а на каких железках такое возможно? (кроме софтроутеров)

 

Cisco 65xx:

s2100(config-route-map)#match ip address 1300 1301 ?

<1-199> IP access-list number

<1300-2699> IP access-list number (expanded range)

WORD IP access-list name

Juniper MX:

term ICMP {

from {

destination-address {

prefix/1;

....

prefix/50;

}

protocol icmp;

icmp-type [ echo-reply echo-request parameter-problem time-exceeded unreachable ];

}

then accept;

Ну и на интерфейсе можно много ACL написать, которые работают как "И".

show configuration interfaces ae0 unit 0 family inet filter

input-list [ BORDER-IN MSKIX ];

output-list [ BORDER-OUT MSKIX MSKIX-OUT ];

Изменено 23 января, 2015 пользователем antoninho

[s.lobanov]

На Cisco не пробовал такое, спасибо, буду знать.

 

На Juniper это сложно назвать 2 ACL с условием 'И', но вашу задачу действительно решает

 

Huawei S9300 даёт изобразить то, что вы хотите

 

[s9300]dis acl 3200

Advanced ACL 3200, 2 rules

Acl's step is 5

rule 0 permit icmp icmp-type port-unreachable

rule 10 permit icmp icmp-type host-unreachable

 

[s9300]dis acl 3201

Advanced ACL 3201, 2 rules

Acl's step is 5

rule 0 permit ip source 1.1.1.0 0.0.0.255

rule 1 permit ip source 2.2.2.0 0.0.0.255

 

[s9300]dis cur conf classifier test8

#

traffic classifier test8 operator and precedence 10

if-match acl 3200

if-match acl 3201

#

return

[s9300]dis cur conf beh PERMIT

#

traffic behavior PERMIT

statistic enable

#

return

[s9300]dis cur conf trafficpolicy test8

#

traffic policy test8

classifier test8 behavior PERMIT

#

return

[antoninho]

 

Huawei S9300 даёт изобразить то, что вы хотите

 

Спасибо!

 

Вот ведь негодяи! В моем случае это выглядит так:

[host]traffic classifier TEST operator and

[host-classifier-TEST]if-match acl name ACCEPT-ICMP

[host-classifier-TEST]if-match acl name MY-PEER-ADDR ?

<cr>

 

[host-classifier-TEST]if-match acl name MY-PEER-ADDR

Error: Only one acl can be configured in this classifier.

[host-classifier-TEST]

[host-classifier-TEST]

[host-classifier-TEST]dis ver

Huawei Versatile Routing Platform Software

VRP ® software, Version 5.160 (NE40E&80E V600R008C10SPC300)

Copyright © 2000-2014 Huawei Technologies Co., Ltd.

HUAWEI NE40E-X8 uptime is 3 days, 5 hours, 18 minutes

NE40E-X8 version information:

 

Недоделали =)

Изменено 23 января, 2015 пользователем antoninho

[s.lobanov]

с неименованными acl та же фигня?

[dazgluk]

с неименованными acl та же фигня?

Да, как минимум на версии софта V600R001 не получается

[sPB-NE40E-IXR01-classifier-test]if-match acl 3001
Error: Only one acl can be configured in this classifier.

[sio]

зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял.

[antoninho]

зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял.

 

Там то однозначно "ИЛИ", иначе какой в нем смысл.

[sio]

зато можно в traffic policy два разных classifier засунуть, правда соблюдается ли при этом условие "И" не проверял.

 

Там то однозначно "ИЛИ", иначе какой в нем смысл.

Проверил - работает как "ИЛИ" :(

[antoninho]

Написал в Huawei, вот что ни ответили:

 

Hello, Anton

 

In our device we could not biding two different ACL in one classifier, but in our device, we could create lots of different rules, such as

 

Acl 3000

Rule 5 ................

Rule 10 ..................

 

And so on.

 

If you need meet all the condition for one classifier, we suggest create a acl like this.

 

Не понятно, зачем вообще нужен тогда этот самый classifier, лишним звеном имхо выступает. В общем, изящно с этой железкой нельзя, только много-много многострочных ACL'ей, как выяснилось.

Изменено 27 января, 2015 пользователем antoninho

[fomka31ru]

С точки зрения юзабили джун вне конкуренции.