Wenn Sie Access-Listen oder QoS erstellen (Quality of Service) Richtlinien, die Sie normalerweise Schicht verwenden 1,2,3 und 4 Informationen auf bestimmte Kriterien entsprechen. NBAR (Network Based Application Recognition) fügt unserem Cisco IOS Router Application Layer Intelligence hinzu, was bedeutet, dass wir bestimmte Anwendungen abgleichen und filtern können.
Angenommen, Sie möchten eine bestimmte Website blockieren Youtube.com. Normalerweise würden Sie die von YouTube verwendeten IP-Adressen nachschlagen und diese mithilfe einer Zugriffsliste blockieren oder sie möglicherweise in Ihren QoS-Richtlinien überwachen / formulieren. Mit NBAR können wir die Website-Adressen anstelle von IP-Adressen abgleichen. Das macht das Leben viel einfacher. Schauen wir uns ein Beispiel an, in dem wir NBAR verwenden, um eine Website zu blockieren (z. B. youtube):
R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exitZuerst werde ich eine Klassenzuordnung namens „BLOCKED“ erstellen und das Match-Protokoll verwenden, um NBAR zu verwenden. Wie Sie sehen können, passe ich auf den Hostnamen „youtube.com „. Das * bedeutet „beliebiges Zeichen“. Effektiv werden dadurch alle Subdomains von YouTube blockiert.com, zum Beispiel „subdomain.youtube.com “ wird auch blockiert. Jetzt müssen wir eine Policy-Map erstellen:
R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exitDie obige Policy-Map stimmt mit unserer class-Map überein, und wenn dies übereinstimmt, wird der Datenverkehr gelöscht. Zu guter Letzt müssen wir die Policy-Map auf die Schnittstelle anwenden:
R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROPIch werde die Richtlinienzuordnung auf die Schnittstelle anwenden, die mit dem Internet verbunden ist. Nun, wenn jemand versucht zu erreichen youtube.com ihr Verkehr wird fallen gelassen. Sie können dies auf Ihrem Router mit dem folgenden Befehl überprüfen:
R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any Oben sehen Sie, dass wir eine Übereinstimmung für unsere class-Map BLOCKIERT haben. Anscheinend hat jemand versucht zu erreichen youtube.com . Die Klasse-map class-default entspricht dem gesamten anderen Datenverkehr und ist zulässig.
