Làm cách nào để chỉ định một số địa chỉ IP hoặc MAC nhất định cho việc thực thi chính sách của NBAR?


9

Trong môi trường văn phòng, nếu tôi muốn chặn youtube bằng bộ định tuyến ISR của Cisco, tôi sẽ thiết lập các mục sau với NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Đây là một cấu hình toàn cầu, nhưng làm thế nào để điều chỉnh nó sao cho nó chỉ áp dụng cho các máy trạm nhất định (thông qua địa chỉ IP hoặc MAC)?


3
Hầu hết các Kỹ sư Mạng đều bị ám ảnh bởi các chi tiết - bạn phải có quá nhiều thời gian trong CLI so với GUI - vì vậy thông thường, câu lệnh proto phù hợp của bạn sẽ *.youtube.comthay vì *youtube.com*trừ khi bạn có ý định chặn các trang web như "ihateyoutube.com" (không chắc chắn nếu đó là thật).
generalnetworkerror

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


9

Bạn có thể tạo điều kiện đối sánh thứ hai trong bản đồ lớp khớp với tất cả các mạng IP nguồn mà bạn muốn chặn (với ACL). Mọi yêu cầu tới youtube.com từ một IP nguồn không phù hợp với ACL này sẽ không bị loại bỏ.


9

Chìa khóa là phần 'khớp tất cả' hoặc 'khớp với bất kỳ' nào trên bản đồ lớp. Bạn có thể cấu hình bản đồ lớp theo một trong hai cách.

class-map {match-any | match-all} *class-map name*

Nếu bạn thực hiện bản đồ lớp "khớp tất cả", tất cả các điều kiện khớp phải đúng để lưu lượng truy cập khớp. Như Jeremy đã đề cập, việc tạo một ACL phù hợp với những người dùng cụ thể và phù hợp sẽ làm những gì bạn muốn.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Cuộc gọi tốt chỉ ra tầm quan trọng của "trận đấu tất cả" ở đây. Tôi bỏ qua đề cập đến điều đó.
Jeremy Căng

Nếu các điều kiện phù hợp với một số IP nhất định cùng với BẤT K of nhiều máy chủ, thì kết quả khớp như thế nào sẽ có hiệu lực ở đây? Tôi tin rằng cấu hình cần phải được điều chỉnh một chút? Trường hợp ở đây là chặn nhiều trang web cho nhiều loại người.
lamp_scaler

Khớp tất cả là bắt buộc vì bạn muốn khớp dựa trên máy chủ nguồn cũng như URL. Như tôi đã nêu trong nhận xét của tôi về bài đăng khác của bạn nếu bạn muốn sử dụng kết hợp tất cả thì bạn sẽ phải xây dựng một lớp cho mỗi URL bạn muốn chặn.
bigmstone

1

Nâng cấp firmware chuyển đổi cisco để cập nhật các giao thức cho ip nbar

đã có một giao thức sẵn sàng dành riêng cho YouTube.com, vì nó chỉ phù hợp với giao thức http không phải là ssl và bạn không thể sử dụng giao thức ssl cho YouTube vì cả hai đều được sử dụng cho google.com, chặn nó cũng sẽ chặn Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Lưu ý rằng các lệnh khác với các phiên bản thiết bị


Cảm ơn vì đã chỉnh sửa. Ngoài ra, hướng dẫn sử dụng thiết bị cung cấp tất cả các câu trả lời chi tiết cho mỗi lệnh.
PauAI

-1

Tôi không tin rằng bạn có thể chặn youtube.com bằng bộ định tuyến của mình nữa. YouTube.com chạy trên HTTPS ngay bây giờ sẽ không cho phép bộ định tuyến kiểm tra các gói. Đặt cược tốt nhất của bạn là có thể chặn các yêu cầu DNS cho youtube.com để chúng không thể truy cập vào các máy chủ youtube thực tế.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.