Jak określa się niektóre adresy IP lub adresy MAC do egzekwowania zasad NBAR?

9

W środowisku biurowym, gdybym chciał zablokować youtube za pomocą routera Cisco ISR, skonfigurowałbym następujące ustawienia z NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

To jest konfiguracja globalna, ale jak ją ulepszyć, aby dotyczyła tylko niektórych stacji roboczych (przez adresy IP lub MAC)?

cisco router qos cisco-isr lamp_scaler
źródło
3
Większość inżynierów sieciowych ma obsesję na punkcie szczegółów - musisz spędzać tyle czasu w interfejsie CLI a graficznym interfejsie użytkownika - więc normalnie twoja instrukcja proto dopasowania byłaby *.youtube.comzamiast, *youtube.com*chyba że zamierzasz również blokować witryny takie jak „ihateyoutube.com” (nie jestem pewien jeśli to jest prawdziwe).
generalnetworkerror
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

9

Możesz utworzyć drugi warunek dopasowania w mapie klas pasujący do wszystkich źródłowych sieci IP, które chcesz zablokować (za pomocą ACL). Wszelkie żądania do youtube.com ze źródłowego adresu IP niezgodnego z tą listą ACL nie zostaną odrzucone.

Jeremy Stretch
źródło
9

Kluczem jest „dopasuj wszystko” lub „dopasuj dowolną” część mapy klas. Możesz skonfigurować mapę klas w dowolny sposób.

class-map {match-any | match-all} *class-map name*

Jeśli wykonasz mapę klasy „dopasuj wszystko”, wszystkie warunki dopasowania muszą być spełnione, aby ruch był zgodny. Jak wspomniał Jeremy, utworzenie listy ACL pasującej do poszczególnych użytkowników i dopasowanie, które zrobi to, co chcesz.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G.
źródło
Dobry telefon wskazujący na znaczenie „dopasuj wszystko” tutaj. Zaniedbałem o tym wspomnieć.
Jeremy Stretch
Jeśli warunki mają być zgodne z niektórymi adresami IP i DOWOLNYMI z wielu hostów, w jaki sposób dopasowanie byłoby tutaj skuteczne? Uważam, że konfiguracja wymaga drobnych poprawek? Chodzi tutaj o zablokowanie wielu witryn dla wielu typów osób.
lamp_scaler
Match-all jest koniecznością, ponieważ chcesz dopasować na podstawie hosta źródłowego, a także adresu URL. Jak wspomniałem w moim komentarzu do twojego drugiego postu, jeśli chcesz użyć dopasowania wszystko, będziesz musiał zbudować klasę dla adresu URL, który chcesz zablokować.
bigmstone
1

Zaktualizuj oprogramowanie sprzętowe przełącznika Cisco, aby zaktualizować protokoły dla ip nbar

istnieje już protokół przygotowany specjalnie dla YouTube.com, ponieważ odpowiada on tylko protokołowi HTTP nie ssl, a Ty nie możesz używać protokołu ssl dla YouTube, ponieważ oba są używane dla google.com, zablokowanie go zablokowałoby również Google 

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Pamiętaj, że polecenia różnią się od wersji urządzenia

PauAI
źródło
Dzięki za edycję miałem ją edytować osobiście. Dodatkowo instrukcja urządzenia zawiera wszystkie szczegółowe odpowiedzi dla każdego polecenia.
PauAI,
-1

Nie sądzę, że możesz już zablokować youtube.com za pomocą routera. YouTube.com działa teraz na HTTPS, co uniemożliwiłoby routerowi sprawdzanie pakietów. Najlepszym rozwiązaniem jest prawdopodobnie zablokowanie żądań DNS dla youtube.com, aby nie mogły dotrzeć do rzeczywistych serwerów youtube.

knotseh
źródło