Blokovat webové stránky s NBAR na Cisco Router

při vytváření přístupových seznamů nebo QoS (kvalita služeb) zásady běžně používají vrstvy 1,2,3 a 4 informace, aby odpovídaly na určitých kritériích. NBAR (Network Based Application Recognition) přidává inteligenci aplikační vrstvy do našeho směrovače Cisco IOS, což znamená, že můžeme porovnávat a filtrovat na základě určitých aplikací.

řekněme, že chcete zablokovat určité webové stránky jako Youtube.com. Normálně byste vyhledali IP adresy, které youtube používá, a zablokovali ty, kteří používají přístupový seznam, nebo je možná policie / tvarujte ve svých zásadách QoS. Pomocí NBAR můžeme porovnávat adresy webových stránek místo IP adres. To dělá život mnohem jednodušší. Podívejme se na příklad, kde používáme NBAR k blokování webových stránek (například youtube):

R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exit

nejprve vytvořím třídní mapu s názvem „blokováno“ a použiji protokol match k použití NBAR. Jak vidíte, shoduji se s názvem hostitele „youtube.com“. * znamená „jakýkoli znak“. Účinně to zablokuje všechny subdomény youtube.com, například „subdomain.youtube.com“ bude také blokován. Nyní musíme vytvořit mapu zásad:

R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exit

výše uvedená mapa zásad odpovídá naší blokované mapě tříd a pokud se tato shoduje, provoz bude zrušen. V neposlední řadě musíme použít politiku-map na rozhraní:

R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROP

použiji mapu zásad na rozhraní, které je připojeno k internetu. Nyní, kdykoli se někdo snaží dosáhnout youtube.com jejich provoz bude zastaven. Můžete to ověřit na routeru pomocí následujícího příkazu:

R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any 

výše vidíte, že máme zablokovanou shodu pro naši třídní mapu. Zřejmě se někdo pokusil dosáhnout youtube.com. třída-map class-default odpovídá všem ostatním provozům a je povolena.

Write a Comment

Vaše e-mailová adresa nebude zveřejněna.