Quando si creano access-list o QoS (Qualità del servizio) politiche normalmente si utilizza strato 1,2,3 e 4 informazioni per abbinare su determinati criteri. NBAR (Network Based Application Recognition) aggiunge application layer intelligence al nostro router Cisco IOS, il che significa che possiamo abbinare e filtrare in base a determinate applicazioni.
Diciamo che vuoi bloccare un determinato sito web come Youtube.com. Normalmente si dovrebbe cercare gli indirizzi IP che youtube utilizza e bloccare quelli che utilizzano un access-list o forse la polizia / modellarli nelle vostre politiche QoS. Utilizzando NBAR possiamo abbinare gli indirizzi del sito web invece di indirizzi IP. Questo rende la vita molto più facile. Diamo un’occhiata a un esempio in cui usiamo NBAR per bloccare un sito web (youtube per esempio):
R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exit
Per prima cosa creerò una class-map chiamata “BLOCKED” e userò il protocollo match per usare NBAR. Come puoi vedere combatto sul nome host “youtube.com”. Il * significa “qualsiasi carattere”. Effettivamente questo bloccherà tutti i sottodomini di youtube.com, per esempio “subdomain.youtube.com” sarà anche bloccato. Ora abbiamo bisogno di creare una politica-mappa:
R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exit
La policy-map sopra corrisponde alla nostra class-map BLOCCATA e quando questa corrisponde il traffico verrà eliminato. Ultimo ma non meno importante dobbiamo applicare la policy-map all’interfaccia:
R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROP
Applicherò la policy-map all’interfaccia connessa a Internet. Ora ogni volta che qualcuno cerca di raggiungere youtube.com il loro traffico sarà abbandonato. È possibile verificare questo sul router utilizzando il seguente comando:
R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any
Sopra vedi che abbiamo una corrispondenza per la nostra mappa di classe BLOCCATA. A quanto pare qualcuno ha cercato di raggiungere youtube.com. La class-map class-default corrisponde a tutto l’altro traffico ed è consentita.