Em um ambiente de escritório, se eu quisesse bloquear o youtube usando um roteador Cisco ISR, configuraria o seguinte com o NBAR :
class-map match-all YOUTUBE
match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
class YOUTUBE
drop
!
interface FastEthernet0/0
description TO INTERNET
service-policy output DROP_YOUTUBE
Essa é uma configuração global, mas como ajustá-la para que ela se aplique apenas a determinadas estações de trabalho (via endereços IP ou MAC)?
*.youtube.com
substituída, a*youtube.com*
menos que você pretenda também bloquear sites como "ihateyoutube.com" (não tenho certeza se esse é real).