Nossa rede de escritórios usa o roteador 1921 / K9 junto com o comutador SG300 L3 (e alguns outros comutadores L2), todos com módulos básicos. Se quiséssemos impedir os funcionários de visitar determinados sites, qual seria a melhor maneira de fazer isso com o equipamento atual?
7
Respostas:
O filtro de um homem pobre pode ser implementado usando o NBAR para corresponder ao URL que você deseja bloquear e depois eliminar o tráfego correspondente.
Por exemplo, se você quiser bloquear o Google, poderá usar o seguinte
Como este é um mapa de classe correspondente a qualquer outra, você pode adicionar mais URLs para corresponder à classe.
Nota: A correspondência com base na URL precisará ser feita em 1921, não na opção L2 / 3.
fonte
match protocol http url
corresponderia a uma ACL criada para corresponder aos seus hosts. Se for baseado em uma VLAN, você poderá aplicar a política de serviço original à sub-interface do roteador da qual o tráfego entra.Trabalhe com seu Cisco Partner ou Cisco SE no uso da solução ScanSafe integrada no IOS:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps6538/ps6540/data_sheet_c78-655324.html
fonte
Na minha experiência, o que fiz foi o seguinte:
1) Configure uma sessão SPAN no switch L3 e envie o tráfego para uma porta de destino que fará o monitoramento. 2) Configure o Websense para monitorar o tráfego do site, configurando políticas para o que é e o que não é permitido.
Eu sei que provavelmente não é exatamente o que você está procurando, mas esse é o básico em poucas palavras. Apenas ter um roteador e um switch L3 não permite monitorar / bloquear o tráfego do site. Existem outros produtos lá fora, além do Websense, como o Dansguardian, que farão o truque, mas o Websense é provavelmente o mais fácil de configurar, mas também um dos mais caros em termos de requisitos de licenciamento e hardware.
O que você também deve levar em consideração ao monitorar o tráfego do site é o tamanho da sua rede. Se você estiver monitorando mais de 200 clientes, eu não recomendaria nada menos que uma caixa Quad Core Xeon com Dual Gigabit Link e 8 GB de RAM no mínimo. O dimensionamento é muito importante ao decidir monitorar o tráfego, pois a caixa que monitora pode potencialmente bloquear o tráfego de saída o suficiente para que os superiores decidam retirar a caixa da rede para você.
Essa tem sido minha experiência com o monitoramento do tráfego do site. Quais são seus pensamentos?
fonte
Outra alternativa é bloquear os URLs, de conceito semelhante ao arquivo HOSTS, no servidor DNS (supondo que você esteja executando seu próprio servidor DNS).
Por exemplo, se o IOS estiver executando o servidor DNS, você poderá adicionar:
Roteador (config) # host IP facebook.com 127.0.0.1
Ou você pode substituir 127.0.0.1 pelo IP de talvez um servidor Web simples com uma página estática listando quais sites são proibidos e por quê.
fonte