Como alguém especifica determinados IPs ou endereços MAC para a aplicação da política NBAR?

9

Em um ambiente de escritório, se eu quisesse bloquear o youtube usando um roteador Cisco ISR, configuraria o seguinte com o NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Essa é uma configuração global, mas como ajustá-la para que ela se aplique apenas a determinadas estações de trabalho (via endereços IP ou MAC)?

— lamp_scaler
fonte

3

A maioria dos engenheiros de rede está obcecada com detalhes - você precisa ficar com tanto tempo em uma CLI versus GUI - normalmente sua declaração proto de correspondência seria *.youtube.comsubstituída, a *youtube.com*menos que você pretenda também bloquear sites como "ihateyoutube.com" (não tenho certeza se esse é real).

— generalnetworkerror

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.

— Ron Maupin

9

Você pode criar uma segunda condição de correspondência no mapa de classe que corresponde a todas as redes IP de origem que você deseja bloquear (com uma ACL). Quaisquer solicitações ao youtube.com de um IP de origem não correspondido por esta ACL não serão descartadas.

— Jeremy Stretch
fonte

9

A chave é a parte 'match-all' ou 'match-any' do mapa de classes. Você pode configurar o mapa de classe de qualquer maneira.

class-map {match-any | match-all} *class-map name*

Se você criar um mapa de classe "combinar tudo", todas as condições de correspondência deverão ser verdadeiras para que o tráfego corresponda. Como Jeremy mencionou, criar uma ACL que corresponda a usuários específicos e que fará o que você deseja.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

— Keller G
fonte

Boa chamada apontando o significado de "combinar tudo" aqui. Eu esqueci de mencionar isso.

— amigos estão dizendo sobre jeremy stretch

Se as condições corresponderem a certos IPs junto com QUALQUER de vários hosts, como a correspondência será eficaz aqui? Eu acredito que a configuração precisa ser ajustada um pouco? O caso aqui é bloquear vários sites para vários tipos de pessoas.

— lamp_scaler

A correspondência de todos é obrigatória porque você deseja corresponder com base no host de origem e no URL. Como afirmei no meu comentário no seu outro post, se você quiser usar o match-all, precisará criar uma classe por URL que deseja bloquear.

— bigmstone

1

Atualize o firmware do switch Cisco para atualizar os protocolos para ip nbar

já existe um protocolo pronto especificamente para o YouTube.com, já que ele corresponde apenas ao protocolo http e não ao SSL, e você não pode usar o protocolo SSL para o YouTube, pois ambos estão sendo usados no google.com. Bloquear ele também bloquearia o Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Observe que os comandos diferem das versões do dispositivo

— PauAI
fonte

Obrigado pela edição estava prestes a editá-lo. Além disso, o manual do dispositivo fornece todas as respostas detalhadas para cada comando.

— PauAI

-1

Não acredito que você possa bloquear o youtube.com com seu roteador. O YouTube.com é executado em HTTPS agora, o que impediria o roteador de inspecionar os pacotes. Sua melhor aposta é provavelmente bloquear as solicitações de DNS do youtube.com para que elas não alcancem os servidores reais do youtube.

— knotseh
fonte