Bloquez le site Web avec NBAR sur le routeur Cisco

Lorsque vous créez des listes d’accès ou des stratégies de qualité de service (QoS), vous utilisez normalement les informations de couche 1,2,3 et 4 pour correspondre à certains critères. NBAR (Reconnaissance d’applications basée sur le réseau) ajoute une intelligence de couche d’application à notre routeur Cisco IOS, ce qui signifie que nous pouvons faire correspondre et filtrer en fonction de certaines applications.

Disons que vous voulez bloquer un certain site Web comme Youtube.com . Normalement, vous recherchez les adresses IP utilisées par youtube et bloquez celles qui utilisent une liste d’accès ou peut-être les contrôlez / façonnez-les dans vos stratégies de QoS. En utilisant NBAR, nous pouvons faire correspondre les adresses du site Web au lieu des adresses IP. Cela rend la vie beaucoup plus facile. Regardons un exemple où nous utilisons NBAR pour bloquer un site Web (youtube par exemple):

R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exit

Je vais d’abord créer une carte de classe appelée « BLOQUÉE » et j’utiliserai le protocole de correspondance pour utiliser NBAR. Comme vous pouvez le voir, je correspond au nom d’hôte « youtube.com « . Le * signifie « n’importe quel caractère « . Effectivement, cela bloquera tous les sous-domaines de youtube.com, par exemple « subdomain.youtube.com « sera également bloqué. Maintenant, nous devons créer une carte de politique:

R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exit

La carte de stratégie ci-dessus correspond à notre carte de classe BLOQUÉE et lorsque cela correspond, le trafic sera supprimé. Enfin et surtout, nous devons appliquer la policy-map à l’interface:

R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROP

Je vais appliquer la carte de stratégie à l’interface connectée à Internet. Maintenant, chaque fois que quelqu’un essaie d’atteindre youtube.com leur trafic sera supprimé. Vous pouvez le vérifier sur votre routeur à l’aide de la commande suivante:

R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any 

Ci-dessus, vous voyez que nous avons une correspondance pour notre carte de classe BLOQUÉE. Apparemment, quelqu’un a essayé d’atteindre youtube.com . Le class-map class-default correspond à tous les autres trafics et il est autorisé.

Write a Comment

Votre adresse e-mail ne sera pas publiée.