Como alguém especifica determinados IPs ou endereços MAC para a aplicação da política NBAR?

9

Em um ambiente de escritório, se eu quisesse bloquear o youtube usando um roteador Cisco ISR, configuraria o seguinte com o NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Essa é uma configuração global, mas como ajustá-la para que ela se aplique apenas a determinadas estações de trabalho (via endereços IP ou MAC)?

cisco router qos cisco-isr lamp_scaler
fonte
3
A maioria dos engenheiros de rede está obcecada com detalhes - você precisa ficar com tanto tempo em uma CLI versus GUI - normalmente sua declaração proto de correspondência seria *.youtube.comsubstituída, a *youtube.com*menos que você pretenda também bloquear sites como "ihateyoutube.com" (não tenho certeza se esse é real).
generalnetworkerror
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

9

Você pode criar uma segunda condição de correspondência no mapa de classe que corresponde a todas as redes IP de origem que você deseja bloquear (com uma ACL). Quaisquer solicitações ao youtube.com de um IP de origem não correspondido por esta ACL não serão descartadas.

Jeremy Stretch
fonte
9

A chave é a parte 'match-all' ou 'match-any' do mapa de classes. Você pode configurar o mapa de classe de qualquer maneira.

class-map {match-any | match-all} *class-map name*

Se você criar um mapa de classe "combinar tudo", todas as condições de correspondência deverão ser verdadeiras para que o tráfego corresponda. Como Jeremy mencionou, criar uma ACL que corresponda a usuários específicos e que fará o que você deseja.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G
fonte
Boa chamada apontando o significado de "combinar tudo" aqui. Eu esqueci de mencionar isso.
amigos estão dizendo sobre jeremy stretch
Se as condições corresponderem a certos IPs junto com QUALQUER de vários hosts, como a correspondência será eficaz aqui? Eu acredito que a configuração precisa ser ajustada um pouco? O caso aqui é bloquear vários sites para vários tipos de pessoas.
lamp_scaler
A correspondência de todos é obrigatória porque você deseja corresponder com base no host de origem e no URL. Como afirmei no meu comentário no seu outro post, se você quiser usar o match-all, precisará criar uma classe por URL que deseja bloquear.
bigmstone
1

Atualize o firmware do switch Cisco para atualizar os protocolos para ip nbar

já existe um protocolo pronto especificamente para o YouTube.com, já que ele corresponde apenas ao protocolo http e não ao SSL, e você não pode usar o protocolo SSL para o YouTube, pois ambos estão sendo usados ​​no google.com. Bloquear ele também bloquearia o Google 

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Observe que os comandos diferem das versões do dispositivo

PauAI
fonte
Obrigado pela edição estava prestes a editá-lo. Além disso, o manual do dispositivo fornece todas as respostas detalhadas para cada comando.
PauAI
-1

Não acredito que você possa bloquear o youtube.com com seu roteador. O YouTube.com é executado em HTTPS agora, o que impediria o roteador de inspecionar os pacotes. Sua melhor aposta é provavelmente bloquear as solicitações de DNS do youtube.com para que elas não alcancem os servidores reais do youtube.

knotseh
fonte