เราจะระบุที่อยู่ IP หรือ MAC ที่แน่นอนสำหรับการบังคับใช้นโยบาย NBAR ได้อย่างไร


9

ในสภาพแวดล้อมสำนักงานถ้าฉันต้องการปิดกั้น youtube โดยใช้เราเตอร์ Cisco ISR ฉันจะตั้งค่าต่อไปนี้ด้วยNBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

นี่คือการกำหนดค่าระดับโลก แต่มีวิธีใดที่จะปรับแต่งเพื่อให้ใช้กับเวิร์กสเตชันบางตัวเท่านั้น (ผ่านที่อยู่ IP หรือ MAC)


3
วิศวกรเครือข่ายส่วนใหญ่หมกมุ่นอยู่กับรายละเอียด - คุณต้องมีเวลามากใน CLI vs GUI - โดยปกติแล้วคำสั่งโปรโตแมตช์ของคุณจะ*.youtube.comแทนที่จะเป็น*youtube.com*เว้นแต่คุณตั้งใจจะบล็อกเว็บไซต์เช่น "ihateyoutube.com" (ไม่แน่ใจ ถ้าเป็นของจริง)
generalnetworkerror

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


9

คุณสามารถสร้างเงื่อนไขการจับคู่ที่สองในคลาสแผนที่ที่ตรงกับทุกเครือข่าย IP ต้นทางที่คุณต้องการบล็อก (ด้วย ACL) คำขอใด ๆ ไปยัง youtube.com จาก IP ต้นทางที่ไม่ตรงกับ ACL นี้จะไม่ถูกทิ้ง


9

คีย์คือส่วน 'จับคู่ทั้งหมด' หรือ 'จับคู่ใด ๆ ' ของคลาสแผนที่ คุณสามารถกำหนดค่าคลาสแผนที่ด้วยวิธีใดวิธีหนึ่ง

class-map {match-any | match-all} *class-map name*

หากคุณทำแผนที่คลาส "จับคู่ทั้งหมด" เงื่อนไขการแข่งขันทั้งหมดจะต้องเป็นจริงเพื่อให้ปริมาณการเข้าชมตรงกัน ดังที่ Jeremy กล่าวไว้การสร้าง ACL ที่ตรงกับผู้ใช้เฉพาะและการจับคู่ที่จะทำสิ่งที่คุณต้องการ

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

การโทรที่ดีชี้ให้เห็นความสำคัญของ "การจับคู่ทั้งหมด" ที่นี่ ฉันละเลยที่จะพูดถึงว่า
Jeremy Stretch

หากมีเงื่อนไขที่จะจับคู่บาง IP พร้อมกับโฮสต์ใด ๆ การจับคู่ทั้งหมดจะมีประสิทธิภาพที่นี่ได้อย่างไร ฉันเชื่อว่าการกำหนดค่าจะต้องมีการปรับแต่งเล็กน้อย? กรณีนี้คือการบล็อกเว็บไซต์หลายแห่งสำหรับผู้คนหลายประเภท
lamp_scaler

การจับคู่ทั้งหมดเป็นสิ่งที่ต้องทำเนื่องจากคุณต้องการจับคู่ตามโฮสต์ต้นทางและ URL ตามที่ฉันระบุไว้ในความคิดเห็นของฉันในโพสต์อื่นของคุณหากคุณต้องการใช้การจับคู่ทั้งหมดคุณจะต้องสร้างคลาสต่อ URL ที่คุณต้องการปิดกั้น
bigmstone

1

อัพเกรดเฟิร์มแวร์สวิตช์ของ Cisco เพื่ออัปเดตโปรโตคอลสำหรับ ip nbar

มีโปรโตคอลที่พร้อมใช้งานโดยเฉพาะสำหรับ YouTube.com เนื่องจากโปรโตคอลนั้นตรงกับโปรโตคอล http ไม่ใช่ SSL เท่านั้นและคุณไม่สามารถใช้โปรโตคอล SSL สำหรับ YouTube ตั้งแต่ทั้งคู่ถูกใช้งานสำหรับ google.com การบล็อกมันจะบล็อก Google ด้วย

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

รับทราบว่าคำสั่งต่างจากรุ่นอุปกรณ์


ขอบคุณสำหรับการแก้ไขกำลังจะแก้ไขด้วยตัวเอง นอกจากนี้คู่มืออุปกรณ์ยังให้คำตอบโดยละเอียดทั้งหมดสำหรับแต่ละคำสั่ง
PauAI

-1

ฉันไม่เชื่อว่าคุณสามารถบล็อก youtube.com กับเราเตอร์ของคุณได้อีกต่อไป YouTube.com ใช้งานผ่าน HTTPS ทันทีซึ่งจะไม่อนุญาตให้เราเตอร์ทำการตรวจสอบแพ็คเก็ต ทางออกที่ดีที่สุดของคุณคือการบล็อกคำขอ DNS สำหรับ youtube.com ดังนั้นจึงไม่สามารถเข้าถึงเซิร์ฟเวอร์ YouTube ที่แท้จริงได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.