NBAR ilke uygulaması için belirli IP veya MAC adresleri nasıl belirtilir?


9

Bir ofis ortamında, bir Cisco ISR yönlendirici kullanarak youtube'u engellemek istersem, NBAR ile aşağıdakileri ayarlardım :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Bu genel bir yapılandırmadır, ancak yalnızca belirli iş istasyonları (IP veya MAC adresleri aracılığıyla) için geçerli olacak şekilde nasıl değiştirilir?


3
Çoğu Ağ Mühendisi ayrıntılara takıntılıdır - bir CLI ve GUI'de çok fazla zaman geçirmeniz gerekir - bu nedenle "ihateyoutube.com" gibi siteleri de engellemeyi istemediğiniz sürece normalde eşleşme protokolü ifadeniz *.youtube.combunun yerine olurdu *youtube.com*(emin değilim) eğer bu gerçekse).
generalnetworkerror

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


9

Sınıf haritasında engellemek istediğiniz tüm kaynak IP ağlarıyla (ACL ile) eşleşen ikinci bir eşleşme koşulu oluşturabilirsiniz. Bu ACL ile eşleşmeyen bir kaynak IP'den youtube.com'a hiçbir istek bırakılmaz.


9

Anahtar, sınıf haritasının 'tümünü eşle' veya 'herhangi biriyle eşleştir' bölümüdür. Sınıf haritasını her iki şekilde de yapılandırabilirsiniz.

class-map {match-any | match-all} *class-map name*

"Tümüyle eşleş" sınıf haritası yaparsanız, trafiğin eşleşmesi için tüm eşleşme koşullarının doğru olması gerekir. Jeremy'in belirttiği gibi, belirli kullanıcılarla eşleşen ve istediğinizi yapacak bir ACL oluşturma.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Burada "maç-hepsi" nin önemini gösteren iyi bir çağrı. Bundan bahsetmeyi ihmal ettim.
Jeremy Stretch

Koşullar, belirli IP'leri birden fazla ana bilgisayarla HERHANGİ biriyle eşleştirecekse, eşleşme burada nasıl etkili olur? Ben yapılandırma biraz tweaked gerektiğine inanıyorum? Buradaki durum, birden çok kullanıcı türü için birden fazla web sitesini engellemektir.
lamp_scaler

URL'nin yanı sıra kaynak ana makineye göre eşleştirmek istediğiniz için eşleşmenin tamamı şarttır. Diğer eşlemedeki yorumumda belirttiğim gibi, match-all kullanmak istiyorsanız engellemek istediğiniz URL başına bir sınıf oluşturmanız gerekir.
bigmstone

1

İp nbar protokollerini güncellemek için cisco switch ürün yazılımını yükseltin

YouTube.com için özel olarak hazır bir protokol zaten var, çünkü yalnızca ssl değil http protokolüyle eşleşiyor ve her ikisi de google.com için kullanıldığından YouTube için ssl protokolünü kullanamıyorsunuz, Google'ı da engelliyor

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Komutların cihaz sürümlerinden farklı olduğunu unutmayın


Düzenleme için teşekkürler, kendim düzenlemek üzereydi. Ek olarak, cihaz kılavuzu her komut için tüm ayrıntılı cevapları verir.
PauAI

-1

Artık youtube.com'u yönlendiricinizle engelleyebileceğinize inanmıyorum. YouTube.com şimdi yönlendiricinin paketleri denetlemesine izin vermeyecek HTTPS üzerinden çalışıyor. En iyi seçeneğiniz, youtube.com için DNS isteklerini engellemektir, böylece gerçek youtube sunucularına ulaşamazlar.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.