Como alguém especifica determinados IPs ou endereços MAC para a aplicação da política NBAR?


9

Em um ambiente de escritório, se eu quisesse bloquear o youtube usando um roteador Cisco ISR, configuraria o seguinte com o NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Essa é uma configuração global, mas como ajustá-la para que ela se aplique apenas a determinadas estações de trabalho (via endereços IP ou MAC)?


3
A maioria dos engenheiros de rede está obcecada com detalhes - você precisa ficar com tanto tempo em uma CLI versus GUI - normalmente sua declaração proto de correspondência seria *.youtube.comsubstituída, a *youtube.com*menos que você pretenda também bloquear sites como "ihateyoutube.com" (não tenho certeza se esse é real).
generalnetworkerror

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:


9

Você pode criar uma segunda condição de correspondência no mapa de classe que corresponde a todas as redes IP de origem que você deseja bloquear (com uma ACL). Quaisquer solicitações ao youtube.com de um IP de origem não correspondido por esta ACL não serão descartadas.


9

A chave é a parte 'match-all' ou 'match-any' do mapa de classes. Você pode configurar o mapa de classe de qualquer maneira.

class-map {match-any | match-all} *class-map name*

Se você criar um mapa de classe "combinar tudo", todas as condições de correspondência deverão ser verdadeiras para que o tráfego corresponda. Como Jeremy mencionou, criar uma ACL que corresponda a usuários específicos e que fará o que você deseja.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Boa chamada apontando o significado de "combinar tudo" aqui. Eu esqueci de mencionar isso.
amigos estão dizendo sobre jeremy stretch

Se as condições corresponderem a certos IPs junto com QUALQUER de vários hosts, como a correspondência será eficaz aqui? Eu acredito que a configuração precisa ser ajustada um pouco? O caso aqui é bloquear vários sites para vários tipos de pessoas.
lamp_scaler

A correspondência de todos é obrigatória porque você deseja corresponder com base no host de origem e no URL. Como afirmei no meu comentário no seu outro post, se você quiser usar o match-all, precisará criar uma classe por URL que deseja bloquear.
bigmstone

1

Atualize o firmware do switch Cisco para atualizar os protocolos para ip nbar

já existe um protocolo pronto especificamente para o YouTube.com, já que ele corresponde apenas ao protocolo http e não ao SSL, e você não pode usar o protocolo SSL para o YouTube, pois ambos estão sendo usados ​​no google.com. Bloquear ele também bloquearia o Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Observe que os comandos diferem das versões do dispositivo


Obrigado pela edição estava prestes a editá-lo. Além disso, o manual do dispositivo fornece todas as respostas detalhadas para cada comando.
PauAI

-1

Não acredito que você possa bloquear o youtube.com com seu roteador. O YouTube.com é executado em HTTPS agora, o que impediria o roteador de inspecionar os pacotes. Sua melhor aposta é provavelmente bloquear as solicitações de DNS do youtube.com para que elas não alcancem os servidores reais do youtube.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.