Jump to content
Калькуляторы

Huawei и работа с ACL

Reply to this topic

seducer   

seducer
Posted

Приветствую коллеги.
Нужна помощь гуру хуавеев. Есть такой зверь S6730-H48X6C, изначально было желание получить такую банальную функцию ACL как матчесы, пример из циски "sh access-list 100 " -> "10 deny ip any 192.168.1.2 (54 matches)" С удивлением обнаружил что такой фичи просто нет, то есть она есть но работает только для managment плана, для транзитного трафика не работает, дебаг АЦЛов представляется затруднительным.

После курения скудной информации из интернета была попытка получить матчасы таким конфигом:

 

acl name VLAN_200 3200                
 rule 4 deny icmp source 192.168.3.1 0 logging
 rule 5 permit icmp                       
 rule 10 permit ip source 192.168.200.0 0.0.0.255
 rule 15 permit tcp destination 192.168.200.0 0.0.0.255 tcp-flag established
 rule 20 deny ip  

traffic classifier VLAN200 operator or
if-match acl VLAN_200
permit

traffic behavior VLAN200
statistic enable

 

traffic policy VLAN200
classifier VLAN200 behavior VLAN200

interface Vlanif200
 description TEST
 ip address 192.168.200.1 255.255.255.0
 traffic-policy VLAN200 inbound
 traffic-policy VLAN200 outbound

Появилась возможность получить скудную информация по работе traffic-policy:
dis traffic policy statistics policy-name VLAN200
Dropped | Packets: 1,913

Но dis acl name VLAN_200 выводит ацл без матчасов. Появилась идея добавить log в ацс и смотреть логирование в консоли, для хуавеев это строчка logging. Но никаких сообщений там не появляется хотя ацл честно работает и блокирует ответ от 192.168.3.1. На данный момент перебираю команды info-center чтобы послать logging в logbuffer.

Ну и вопрос: как вывести дебаг строчек ацл в logbuffer? Спасибо

П.С. Это вообще нормально не иметь такой фичи? Мне тут сказали что Хуавей это ААА оборудование )

Share this post

Link to post
Share on other sites

Sylveron   

Sylveron
Posted (edited)

Добрый день.

 

Как успехи с "функцию ACL как матчесы" ? На S6730-H48X6C-V2(S6730-H-V2_V600R023C00SPC500.cc, S6730-H_V600R023SPH150.PAT) есть такая команда "dis traffic-policy statistics interface Vlanif 71 rule-base", но это всё равно не то.

А Вы нашли, как логгировать ?

 

P.s. Ещё можно в логах смотреть.

Пример части конфига:

######

acl name ACL_FOR_XXXX_OUT advance
 rule 400 deny ip logging

ACL_FOR_XXXX_OUT
#
traffic policy TP_ACL_FOR_XXXX_OUT
 classifier TC_ACL_FOR_XXXX_OUT behavior BH_ACL_FOR_XXXX_OUT precedence 10
#
traffic classifier TC_ACL_FOR_XXXX_OUT type or
 if-match acl ACL_FOR_XXXX_OUT
#
traffic behavior BH_ACL_FOR_XXXX_OUT
 statistics enable
#
interface VlanifXX
 description [XXXX]
 ip address 10.XXX 255.255.255.240
 traffic-policy TP_ACL_FOR_XXXX_OUT outbound
 

info-center source default channel 4 log level informational
info-center event logging all

#####

<SW_01>dis logbuffer | i ACL

 

Feb 27 2025 17:15:51+03:00 SW_01 %%01MQC/6/POLICY_ACL_LOG_SLOT(l):Service=fwmd0;ACL logging information. (Slot=2, Direction=out, Action=deny, Protocol=icmp, SrcIP=10.xxxxx, SrcPort=--, DstIP=10.xxxxxx, DstPort=--, Packet quantity=1, Interface=10GE2/0/xx)
 

 

 

 

Edited by Sylveron

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...