Cómo usar operador AND en los clasificadores Routers Huawei AR1200

Última respuesta my. 15, 2019 07:30:13 143 1 2 0

Operador AND en routers Huawei

Figura 1- Muestra la topología de ejemplo donde aplicaremos el operador AND

195938zatrln32de2nr3xc.png?image.png

 

 

Los requisitos son los siguientes:

 

1. AR1 funciona como una puerta de enlace para implementar el acceso a Internet.

 

2. La dirección MAC de origen especificada no puede acceder a la dirección IP de destino especificada.

 

1.      Los terminales se comunican correctamente con otros dispositivos.

 

Proceso de manejo

1. ACL para las direcciones IP de destino coincidentes que existen

 

acl number 3000

 rule 5 permit ip destination 1.1.1.1 0

 rule 10 permit ip destination 2.2.2.2 0

 

2. ACL para las direcciones IP de destino que no pueden coincidir

 

acl number 3001

 rule 5 permit ip destination 10.10.10.10 0

 

3. Definiendo un comportamiento de tráfico.

 

traffic behavior deny

 deny 

 

4. Configurando el operador AND para todas las reglas de comportamiento de tráfico.

 

  Escenario 1:

 

Dirección IP de destino: ACL 3000

 

Dirección MAC de origen: ACL 4000

 

1.1 Definición de la ACL para la dirección MAC de origen

 

acl number 4000

 rule 5 permit source-mac 0819-a6b3-948f

 

1.2 Configurando la ACL en un clasificador de tráfico

 

traffic classifier 2-acl operator and

 if-match acl 3000

 if-match acl 4000

 

1.3 Configurando y aplicando una política de tráfico.

 

traffic policy 2-acl

 classifier 2-acl behavior deny precedence 5

interface Ethernet0/0/1

 traffic-policy 2-acl inbound

 

1.4 Resultado de la configuración

 

200000v44rk1c***1ffitt.png?image.png

 

1.5 Resumen

En el escenario 1, la dirección MAC de origen especificada no puede acceder a ninguna dirección IP, incluida la dirección de la puerta de enlace. Si alguna regla de ACL coincide, el clasificador de tráfico coincide. En este caso, se ejecuta el comportamiento de tráfico correspondiente en la política de tráfico. Como resultado, todas las solicitudes de la dirección MAC de origen se rechazan independientemente de si la dirección IP de destino es la requerida.Scenario 2:

Destination IP address: ACL 3000

Source MAC address: matched in the traffic classifier

2.1 Configuración de la ACL en un clasificador de tráfico y coincidencia con la dirección MAC de origen

traffic classifier 1-acl:1-class operator and

 if-match acl 3000

 if-match source-mac 80fb-0638-ea75

2.2 Configuring and applying a traffic policy

traffic policy 1-acl:1-class

classifier 1-acl:1-class behavior deny precedence 5

interface Ethernet0/0/1

 traffic-policy 1-acl:1-class inbound

1.3  Resultado de la configuración

200105dp47pppeu25um5y5.png?image.png

 

 

2.4 Resumen

La diferencia entre el escenario 1 y el escenario 2 es la implementación de la dirección MAC de origen. En el escenario 1, las ACL se utilizan para la coincidencia. En el escenario 2, la dirección MAC de origen coincide en el clasificador de tráfico. En el escenario 2, la dirección MAC de origen especificada no se puede usar para acceder a la dirección IP especificada. Es decir, un comportamiento de tráfico coincide solo cuando coinciden tanto la ACL como la dirección MAC de origen del comportamiento de tráfico.

 

Escenario 3:

Dirección IP de destino: ACL 3000

Dirección MAC de origen: coincidente en el clasificador de tráfico

ACL 3001: no configurado

 

3.1 Configuración de la ACL en un clasificador de tráfico y coincidencia con la dirección MAC de origen

traffic classifier 2-acl:1-class operator and

 if-match acl 3000

 if-match acl 3001

 if-match source-mac 749d-8f8f-d540

 

3.2 Configuración y aplicación de una política de tráfico.

traffic policy 2-acl:1-class

 classifier 2-acl:1-class behavior deny precedence 5

interface Ethernet0/0/2

 traffic-policy 2-acl:1-class inbound

 

3.3 Resultado de la configuración

200119v77xf686f8rgtx48.png?image.png

 

3.4 Resumen

 

La diferencia entre el escenario 2 y el escenario 3 es que una ACL que no se puede comparar se agrega al clasificador de tráfico. El resultado es el mismo que en el escenario 2. Esto indica que un clasificador de tráfico puede coincidir si una regla de ACL y una regla de no ACL coinciden.

 

Escenario 4:

 

Dirección MAC de origen: coincidente en el clasificador de tráfico

 

ACL 3001: no configurado

 

4.1 Configuración de la ACL en un clasificador de tráfico y coincidencia con la dirección MAC de origen

 

clasificador de tráfico 1-acl (ninguno): operador de 1 clase y

 

  if-match acl 3001

 

  if-match source-mac 0819-a6b3-94a6

 

4.2 Configuración y aplicación de una política de tráfico.

 

traffic policy 1-acl(none):1-class

 classifier 1-acl(none):1-class behavior deny precedence 5

interface Ethernet0/0/2

 traffic-policy 1-acl(none):1-class inbound

 

4.3 Resultado de la configuración

200137l3eqvpd93qivbisd.png?image.png

 

4.4 Resumen

 

La diferencia entre el escenario 2 y el escenario 4 es si se puede hacer coincidir la ACL. La diferencia es que la dirección MAC de origen especificada puede acceder a la dirección IP de destino especificada y otras direcciones IP. Esto indica que un clasificador de tráfico no coincide si la dirección MAC de origen del clasificador de tráfico coincide pero la ACL no puede coincidir.

 

Resumen

 

0819-a6b3-948f

80fb-0638-ea75

749d-8f8f-d540

0819-a6b3-94a6

1.1.1.1

ACL 3000 (The ping fails.)

ACL 3000 (The ping fails.)

ACL 3000 (The ping fails.)

No matching (The ping is successful.)

192.168.10.1

ACL 4000 (The ping fails.)

No matching (The ping is successful.)

No matching (The ping is successful.)

No matching (The ping is successful.)

3.3.3.3

ACL 4000 (The ping fails.)

No matching (The ping is successful.)

No matching (The ping is successful.)

No matching (The ping is successful.)

Si la relación AND está configurada para un clasificador de tráfico, un clasificador de tráfico coincide cuando se configuran una o más reglas de ACL y solo una regla de ACL y todas las reglas que no son de ACL. Si no coincide ninguna regla de ACL, el clasificador de tráfico no coincide, incluso si todas las reglas que no son de ACL coinciden.

 

Ø  Finalmente, si la falla persiste después de emplear las operaciones anteriores, recolecta la siguiente información y contacta al personal de soporte técnico de Huawei.

²  Los resultados de los procesos de solución de problemas anteriores

²  Archivos de configuración, logs, y alarmas de los dispositivos.


  • x
  • convención:

Administrador Publicado 2019-5-15 07:30:13 Útil(0) Útil(0)
Esta información es vital, lo guardare en favoritos.
  • x
  • convención:

Mexicano%2C%20con%20m%C3%A1s%20de%2010%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1mbito%20de%20Redes%20y%20TICs%20en%20general%20y%20m%C3%A1s%20de%20dos%20dentro%20de%20Huawei%2C%20en%20donde%20cuento%20con%20doble%20certificaci%C3%B3n%20HCIP%20(Routing%20and%20Switching%20y%20WLAN)%2C%20actualmente%20encargado%20de%20ayudarlos%20con%20sus%20dudas%20y%20comentarios%20dentro%20de%20la%20comunidad.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba