[GTER] PBR HUAWEI NE20E-S2F
Bruno Vane
broonu at gmail.com
Fri Feb 15 11:36:02 -02 2019
Pessoal, desculpem, eu mandei ontem porém logo após mandar conseguimos
fazer funcionar aqui.
O que acontece, pra quem não está acostumado com Huawei, é exatamente isso
que o Fernando disse: quando você manda o next-hop via RADIUS ele ignora o
roteamento da caixa e sempre faz o redirect pro IP que voce setou como
next-hop. As ACLS não se aplicam, o tráfego do cliente no BAS não dá match
via IP.
Porém descobrimos que é possível fazer setando um user-group no domain e
usando ACL pra dar match no user-group.
Está funcionando perfeitamente, tráfego de clientes CGNAT para CDN são
redirecionados para meu router de CDN, qualquer outro tráfego vai para o
A10, porém precisa aplicar uma ACL globalmente e ainda não sabemos o
impacto disso na CPU.
Eu vi que o domain permite bindar vpn-instance, vou estudar mais um pouco
pra ver se consigo transferir essa engenharia da policy diretamente para o
domain.
Em qui, 14 de fev de 2019 às 23:57, Fernando José <nandograva at hotmail.com>
escreveu:
> O que o pessoal não entendeu é que não dá pra aplicar a policy na
> interface que está rodando o BAS, até aplica, mas como os clientes estão
> chegando layer2 a policy não pega ninguém, a única solução no momento é
> fazer o pbr em um equipamento a frente do NE20.
>
> Nos manuais da Huawei até achei menção a aplicar a traffic-policy dentro
> da configuração do BAS, o que resolveria o problema, mas aí vem o detalhe,
> esse comando só existe do NE40 pra cima, no NE20 não existe o comando de
> policy dentro da config do BAS.
>
> Fernando
>
> Em qui, 14 de fev de 2019 19:09, Tales Rodarte <talesrodarte at gmail.com
> <mailto:talesrodarte at gmail.com> escreveu:
> Olá,
>
> É bem simples.
> Você cria uma exceção na regra de PBR.
>
> 1 ACL para os IPs que vão sofrer PBR
> 1 ACL para os IPs que vão sofrer PBR com exceção para o destino XXX (GGC
> por exemplo)
>
> Cria 2 traffic classifier diferentes. Cada um especificando a ACL que
> criou.
>
> Cria 2 traffic behavior sendo que 1 você coloca o nexthop do seu A10 e o
> outro você não coloca nada (só cria mesmo).
>
> Agora que é a jogada mágica (ajuste fino kk):
> Você cria apenas um traffic policy.
>
> Nele você coloca as regras na seguinte ordem:
> classifier IPS-PRIVADOS-SEM-PBR-TO-XX behavior
> BEHAVIOR-CRIADO-ANTES-SEM-NEXTHOP
> classifier IPS-PRIVADOS-PBR behavior BEHAVIOR-CRIADO-ANTES-COM-NEXTHOP
>
> Continue enviando via radius ou aplique a policy no profile pppoe.
>
> --
> Tales Costa
>
>
> Em 14/02/2019 14:38, Bruno Vane escreveu:
> > Pessoal, esse é um assunto recorrente aqui na lista, alguns disseram que
> > conseguiram e outros que ainda não, eu tenho uma caixa dessa (NE20E-S2F)
> > recebendo clientes PPPoE com IPs públicos e com IPs privados de CGNAT. No
> > momento, estamos enviando next-hop apontando para o A10 somente para
> > clientes CGNAT via RADIUS (Huawei-Policy-Route) e os clientes com IP
> > público tem o roteamento padrão da caixa.
> >
> > Agora surgiu a necessidade de não mais enviar os clientes CGNAT para o
> A10
> > quando o destino for CDN (GGC,FNA e OCA), porém o envio do atributo
> > Huawei-Policy-Route se sobrepõe ao roteamento da caixa e o cliente sempre
> > vai no A10. Existe uma maneira de fazer essa PBR, para que clientes CGNAT
> > não sejam encaminhados para o A10 quando o destino for CDN, direto na
> caixa?
> >
> > Tentei usar via traffic policy como vi aqui na lista, porém como a
> > interface vlan do cliente (Ex. Eth-Trunk 1.2028) está bindada no Virtual
> > Template de PPPoE, essa policy é ignorada, e não é possível aplicar a
> > policy no VT.
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list