Come si specificano determinati IP o indirizzi MAC per l'applicazione della politica NBAR?

9

In un ambiente di ufficio, se volessi bloccare youtube utilizzando un router Cisco ISR, imposterei quanto segue con NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Questa è una configurazione globale, ma come si può modificare in modo che si applichi solo a determinate workstation (tramite indirizzi IP o MAC)?

— lamp_scaler
fonte

3

La maggior parte degli ingegneri di rete sono ossessionati dai dettagli - devi stare con così tanto tempo in una CLI vs GUI - quindi normalmente la tua dichiarazione di proto match sarebbe *.youtube.cominvece *youtube.com*che a meno che tu non intendessi bloccare anche siti come "ihateyoutube.com" (non sono sicuro se quello è reale).

— generalnetworkerror,

Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.

— Ron Maupin

9

È possibile creare una seconda condizione di corrispondenza nella mappa di classi corrispondente a tutte le reti IP di origine che si desidera bloccare (con un ACL). Qualsiasi richiesta a youtube.com da un IP di origine non corrispondente a questo ACL non verrà eliminata.

— Jeremy Stretch
fonte

9

La chiave è la parte 'match-all' o 'match-any' della mappa della classe. È possibile configurare la mappa delle classi in entrambi i modi.

class-map {match-any | match-all} *class-map name*

Se esegui una mappa di classe "tutto compreso", tutte le condizioni di corrispondenza devono essere vere affinché il traffico corrisponda. Come menzionato da Jeremy, creare un ACL che corrisponda agli utenti specifici e corrispondere che farà quello che vuoi.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

— Keller G
fonte

Buona chiamata sottolineando il significato di "match-all" qui. Ho trascurato di menzionarlo.

— Jeremy Stretch,

Se le condizioni dovessero corrispondere a determinati IP insieme a QUALSIASI di più host, come sarebbe efficace il match-all qui? Credo che la configurazione debba essere modificata un po '? Il caso qui è di bloccare più siti Web per più tipi di persone.

— lamp_scaler

Il match-all è un must perché vuoi abbinare in base all'host di origine e all'URL. Come ho affermato nel mio commento sull'altro tuo post, se desideri utilizzare il match-all, dovrai creare una classe per URL che desideri bloccare.

— bigmstone,

1

Aggiorna il firmware di Cisco Switch per aggiornare i protocolli per ip nbar

esiste già un protocollo pronto appositamente per YouTube.com, poiché corrisponde solo al protocollo http non a ssl e non è possibile utilizzare il protocollo ssl per YouTube poiché entrambi sono utilizzati per google.com, bloccandolo bloccherebbe anche Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Si noti che i comandi differiscono dalle versioni del dispositivo

— PauAI
fonte

Grazie per la modifica stavo per modificarlo da solo. Inoltre, il manuale del dispositivo fornisce tutte le risposte dettagliate per ciascun comando.

— PauAI,

-1

Non credo che tu possa più bloccare youtube.com con il tuo router. YouTube.com ora esegue HTTPS, il che impedisce al router di ispezionare i pacchetti. La soluzione migliore è probabilmente bloccare le richieste DNS per youtube.com in modo che non possano raggiungere i server di YouTube attuali.

— knotseh
fonte