如何指定某些IP或MAC地址来执行NBAR政策？

9

在办公室环境中，如果我想使用Cisco ISR路由器阻止youtube，请使用NBAR进行以下设置：

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

这是一种全局配置，但是如何对其进行调整，使其仅适用于某些工作站（通过IP或MAC地址）？

— lamp_scaler
source

3

大多数网络工程师都痴迷于细节-您必须在CLI和GUI中花很多时间-因此通常除非您打算也阻止“ ihateyoutube.com”之类的网站*.youtube.com，*youtube.com*否则您的匹配协议声明将被代替，除非您不确定如果那是真的）。

— generalnetworkerror

有什么答案对您有帮助吗？如果是这样，您应该接受答案，这样问题就不会永远弹出来寻找答案。或者，您可以提供并接受自己的答案。

— 罗恩·莫平

9

您可以在类映射中创建第二个匹配条件，以匹配要阻止的所有源IP网络（使用ACL）。与该ACL不匹配的源IP对youtube.com的任何请求都不会被丢弃。

— 杰里米·舒特
source

9

关键是类映射的“全部匹配”或“任何匹配”部分。您可以使用任何一种方式配置类映射。

class-map {match-any | match-all} *class-map name*

如果您执行“全部匹配”类映射，则所有匹配条件都必须为true，以便流量匹配。正如Jeremy所提到的，创建一个与特定用户匹配的ACL，然后根据需要进行匹配。

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

— 凯勒G
source

好的电话在这里指出了“全部匹配”的重要性。我忽略了这一点。

— 杰里米·舒尔特

如果条件是将某些IP与多个主机中的任何一个都匹配，那么匹配全部在这里如何生效？我相信配置需要调整一下吗？这里的情况是阻止针对多种类型人群的多个网站。

— lamp_scaler

全部匹配是必须的，因为您要基于源主机和URL进行匹配。正如我在另一篇文章的评论中所述，如果要使用完全匹配，则必须为每个要阻止的URL构建一个类。

— bigmstone 2013年

1

升级Cisco交换机固件以更新IP Nbar的协议

已经有专门针对YouTube.com的协议，因为它仅与http协议匹配而不与ssl匹配，并且您不能对YouTube使用ssl协议，因为这两个协议都用于google.com，因此阻止它也会阻止Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

请注意，命令与设备版本不同

— 保爱
source

感谢您即将自行编辑。此外，设备手册还提供了每个命令的所有详细答案。

— PauAI

-1

我认为您无法再通过路由器阻止youtube.com。YouTube.com现在通过HTTPS运行，这将禁止路由器检查数据包。最好的选择是阻止youtube.com的DNS请求，以使它们无法到达实际的youtube服务器。

— Knotseh
source