Как указать определенные IP-адреса или MAC-адреса для применения политики NBAR?

9

В офисной среде, если бы я хотел заблокировать YouTube с помощью маршрутизатора Cisco ISR, я бы настроил следующее с NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Это глобальная конфигурация, но как настроить ее так, чтобы она применялась только к определенным рабочим станциям (через IP или MAC-адреса)?

cisco router qos cisco-isr lamp_scaler
источник
3
Большинство сетевых инженеров помешаны на деталях - вам приходится тратить так много времени на CLI против GUI - поэтому обычно вы используете *.youtube.comвместо выражения «прото-предложение», *youtube.com*если вы не намереваетесь также блокировать такие сайты, как «ihateyoutube.com» (не уверен если это реально).
generalnetworkerror
Вам помог какой-нибудь ответ? если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

9

Вы можете создать второе условие соответствия в карте классов, соответствующее всем исходным IP-сетям, которые вы хотите заблокировать (с помощью ACL). Любые запросы к youtube.com с исходного IP-адреса, не соответствующие этому ACL, не будут отброшены.

Джереми Стретч
источник
9

Ключ является частью «match-all» или «match-any» карты классов. Вы можете настроить карту классов в любом случае.

class-map {match-any | match-all} *class-map name*

Если вы делаете карту классов "match-all", все условия соответствия должны быть истинными, чтобы трафик совпадал. Как упоминал Джереми, создание ACL-списка, соответствующего конкретным пользователям и подходящего для вас, будет делать то, что вы хотите.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Келлер Г.
источник
Хороший звонок, указывающий на значение «совпадения всех» здесь. Я не упомянул об этом.
Джереми Стретч
Если условия должны соответствовать определенным IP-адресам вместе с ЛЮБОМ из нескольких хостов, как все совпадение будет здесь эффективным? Я считаю, что конфиг должен быть немного подправлен? Дело в том, чтобы заблокировать несколько веб-сайтов для разных типов людей.
lamp_scaler
Соответствие всем является обязательным, потому что вы хотите сопоставить на основе исходного хоста, а также URL. Как я уже говорил в своем комментарии к вашему другому посту, если вы хотите использовать match-all, вам придется создать класс для URL, который вы хотите заблокировать.
Bigmstone
1

Обновление микропрограммы коммутатора cisco для обновления протоколов ip nbar

уже существует протокол, готовый специально для YouTube.com, так как он соответствует только протоколу http, а не ssl, и вы не можете использовать протокол ssl для YouTube, поскольку оба они используются для google.com, его блокировка также заблокирует Google 

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Обратите внимание, что команды отличаются от версий устройства

PauAI
источник
Спасибо за редактирование, собирался редактировать его сам. Кроме того, в руководстве по устройству приведены подробные ответы для каждой команды.
PauAI
-1

Я не верю, что вы можете заблокировать youtube.com с вашим маршрутизатором больше. YouTube.com теперь работает по протоколу HTTPS, что не позволяет маршрутизатору проверять пакеты. Лучше всего, вероятно, заблокировать DNS-запросы для youtube.com, чтобы они не могли получить доступ к реальным серверам YouTube.

knotseh
источник