Як можна вказати певні IP-адреси або MAC-адреси для застосування політики NBAR?

9

В офісному середовищі, якщо б я хотів , щоб заблокувати YouTube з допомогою маршрутизатора Cisco ISR, я б встановити наступне з NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Це глобальна конфігурація, але як можна налаштувати її так, що вона застосовується лише до певних робочих станцій (через IP або MAC адреси)?

— світильник_скелера
джерело

3

Більшість мережевих інженерів одержимі деталями - вам потрібно стільки часу перебувати в CLI vs GUI - тому зазвичай ваш протокольний протокол відповідності буде *.youtube.comзамість того, *youtube.com*якщо ви не мали намір також блокувати сайти типу "ihateyoutube.com" (не впевнений якщо ця справжня).

— generalnetworkerror

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.

— Рон Моупін

9

Ви можете створити умову другої відповідності на карті класів, яка відповідає всім вихідним IP-мережам, які ви хочете заблокувати (за допомогою ACL). Будь-які запити на youtube.com з вихідного IP-адреси, який не відповідає цьому ACL, не буде відхилено.

— Джеремі Стретч
джерело

9

Ключ - це частина 'match-all' або 'match-any' класу-карта класу. Ви можете налаштувати карту класів будь-яким способом.

class-map {match-any | match-all} *class-map name*

Якщо ви робите карту класів "всі матчі", всі умови відповідності повинні відповідати умовам, щоб трафік збігався. Як зауважив Джеремі, створивши ACL, який відповідає конкретним користувачам та збіг, який буде робити те, що ти хочеш.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

— Келлер Г
джерело

Хороший дзвінок, що вказує на значення "матчу всіх" тут. Я знехтував це згадувати.

— Джеремі Стретч

Якщо умови полягають у тому, щоб відповідати певним IP-адресам, а також БУДЬ-якому з декількох хостів, як би ця відповідність була тут ефективною? Я вважаю, що конфігурацію потрібно трохи змінити? Тут справа в тому, щоб заблокувати кілька веб-сайтів для декількох типів людей.

— lamp_scaler

Усі збіги є обов'язковими, оскільки ви хочете відповідати на основі вихідного хоста, а також URL-адреси. Як я вже зазначив у своєму коментарі до іншої публікації, якщо ви хочете використовувати match-all, тоді вам доведеться створити клас за URL-адресою, яку ви хочете заблокувати.

— bigmstone

1

Оновіть прошивку cisco switch, щоб оновити протоколи для ip nbar

вже є протокол, готовий спеціально для YouTube.com, оскільки він відповідає лише протоколу http, а не ssl, і ви не можете використовувати протокол ssl для YouTube, оскільки обидва вони використовуються для google.com, блокуючи, він також блокує Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Зверніть увагу, що команди відрізняються від версій пристрою

— PauAI
джерело

Дякую за редакцію, що збиралася сама її відредагувати. Крім того, керівництво пристрою дає всі детальні відповіді для кожної команди.

— PauAI

-1

Я не вірю, що ви більше можете блокувати youtube.com за допомогою маршрутизатора. YouTube.com працює над HTTPS, що забороняє маршрутизатору перевіряти пакети. Ваша найкраща ставка - це, ймовірно, блокувати запити DNS для youtube.com, щоб вони не могли дійти до реальних серверів youtube.

— вузцех
джерело