Jump to content

acl для huawei s5300

Kumarik
 Share

Recommended Posts

Kumarik

Kumarik

Posted
Posted

Доброго времени.

помогите решить задачу.

есть группа портов исходящий трафик с которых нужно отзеркалить на один порт, при этом из этого трафика выбрать только определенные порты tcp (21,53,80,81,443), весь остальной трафик отсекать.

сделал так:

observe-port 1 interface GigabitEthernet0/0/2

#

acl number 3000

rule 5 permit tcp source-port eq www

rule 10 permit tcp source-port eq ftp

rule 15 permit tcp source-port eq domain

rule 20 permit tcp source-port eq 81

rule 25 permit tcp source-port eq 443

rule 30 deny tcp

rule 35 deny udp

#

interface Eth-Trunk3

port link-type trunk

port trunk allow-pass vlan 25

load-balance src-dst-ip

port-mirroring to observe-port 1 outbound

#

interface GigabitEthernet0/0/2

description Mirror_Carbon_Reductor

traffic-mirror inbound acl 3000 rule 5 to observe-port 1

traffic-mirror inbound acl 3000 rule 10 to observe-port 1

traffic-mirror inbound acl 3000 rule 15 to observe-port 1

traffic-mirror inbound acl 3000 rule 20 to observe-port 1

traffic-mirror inbound acl 3000 rule 25 to observe-port 1

traffic-mirror inbound acl 3000 rule 30 to observe-port 1

traffic-mirror inbound acl 3000 rule 35 to observe-port 1

undo ntdp enable

undo ndp enable

 

 

но все равно на порт сыпется весь трафик.

 

с huawei не часто связывал, может, что то не то написал?)

MasterJey

MasterJey

Posted
Posted

Доброго времени.

помогите решить задачу.

есть группа портов исходящий трафик с которых нужно отзеркалить на один порт, при этом из этого трафика выбрать только определенные порты tcp (21,53,80,81,443), весь остальной трафик отсекать.

сделал так:

observe-port 1 interface GigabitEthernet0/0/2

#

acl number 3000

rule 5 permit tcp source-port eq www

rule 10 permit tcp source-port eq ftp

rule 15 permit tcp source-port eq domain

rule 20 permit tcp source-port eq 81

rule 25 permit tcp source-port eq 443

rule 30 deny tcp

rule 35 deny udp

#

interface Eth-Trunk3

port link-type trunk

port trunk allow-pass vlan 25

load-balance src-dst-ip

port-mirroring to observe-port 1 outbound

#

interface GigabitEthernet0/0/2

description Mirror_Carbon_Reductor

traffic-mirror inbound acl 3000 rule 5 to observe-port 1

traffic-mirror inbound acl 3000 rule 10 to observe-port 1

traffic-mirror inbound acl 3000 rule 15 to observe-port 1

traffic-mirror inbound acl 3000 rule 20 to observe-port 1

traffic-mirror inbound acl 3000 rule 25 to observe-port 1

traffic-mirror inbound acl 3000 rule 30 to observe-port 1

traffic-mirror inbound acl 3000 rule 35 to observe-port 1

undo ntdp enable

undo ndp enable

 

 

но все равно на порт сыпется весь трафик.

 

с huawei не часто связывал, может, что то не то написал?)

http://support.huawei.com/enterprise/documentOnline?contentId=DOC1000069535&sendFrom=mobile&currentPartNo=10112&togo=content

zstas

zstas

Posted
Posted

подскажу чуть более конкретно:

делайте traffic-policy + traffic-classifier (матчим по acl) + traffic-behavior (mirror). ну и вешайте на интерфейсы входящие эту traffic-policy.

Kumarik

Kumarik

Posted
  • Author
Posted

вроде подразобрался

acl number 3004

rule 5 permit tcp destination-port eq ftp

rule 10 permit tcp destination-port eq domain

rule 15 permit tcp destination-port eq www

rule 20 permit tcp destination-port eq 81

rule 25 permit tcp destination-port eq 443

rule 30 permit tcp destination-port eq 888

rule 35 permit tcp destination-port eq 4001

rule 40 permit tcp destination-port eq 4002

rule 45 permit tcp destination-port eq 5000

rule 50 permit tcp destination-port eq 8001

rule 55 permit tcp destination-port eq 8080

rule 60 permit tcp destination-port eq 16869

 

acl number 3005

rule 75 deny tcp

rule 80 deny udp

 

traffic classifier TC_permit1 operator and

if-match acl 3004

traffic classifier TC_deny operator and

if-match acl 3005

 

traffic behavior TB_deny

deny

traffic behavior TB_permit

permit

 

traffic policy TP2

classifier TC_permit1 behavior TB_permit

classifier TC_deny behavior TB_deny

 

interface GigabitEthernet0/0/45

traffic-policy TP2 outbound

undo ntdp enable

undo ndp enable

 

 

При таком наборе правил объем трафика сократился в 9 раз.

 

но нужно еще wireshark подключить и посмотреть, что там точно происходит.

zstas

zstas

Posted
Posted

можно так. убираете mirroring вообще. и в traffic behavior делаете вместо permit 

traffic behavior XXX
mirroring observe-port 1

тогда не нужен второй classifier (который deny).

и полиси вешаете уже на все интерфейсы входяшие на in

Kumarik

Kumarik

Posted
  • Author
Posted

 

А потом РКН внесет http://noviy_porno_site:6666/ , вы его не заблокируете и на следующий день получите штраф

да, и такой риск тоже есть, но мне нужно пока все это для отладки. а в будущем буду расширять канал и не трогать трафик - но это в будущем.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.