でNBARを使用してwebサイトをブロックするアクセスリストまたはQoS(Quality of Service)ポリシーを作成する場合、通常、レイヤ1、2、3、および4の情報を使 NBAR(Network Based Application Recognition)は私達がある特定の適用に基づいて一致させ、フィルタリングできることを意味する私達のCisco IOSのルーターに適用層の知性を加えます。
のような特定のウェブサイトをブロックしたいとしましょうYoutube.com….. 通常は、youtubeが使用するIPアドレスを検索し、アクセスリストを使用してそれらをブロックするか、おそらくQoSポリシーでそれらを警察/整形します。 NBARを使用すると、ipアドレスの代わりにwebサイトのアドレスを一致させることができます。 これは人生をはるかに容易にします。 NBARを使用してウェブサイト(youtubeなど)をブロックする例を見てみましょう):
R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exit最初に「BLOCKED」と呼ばれるクラスマップを作成し、match protocolを使用してNBARを使用します。 あなたが見ることができるように、私はホスト名に一致します”youtube.com*は「任意の文字」を意味します。 効果的にこれはyoutubeのすべてのサブドメインをブロックします。com、例えば”subdomain.youtube.com”もブロックされます。 今、私たちはポリシーマップを作成する必要があります:
R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exit上記のポリシーマップは、ブロックされたクラスマップと一致し、これが一致するとトラフィックは削除されます。 最後に、policy-mapをインターフェイスに適用する必要があります:
R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROP私は、インターネットに接続されているインターフェイスにポリシーマップを適用します。 誰かが手を差し伸べようとするたびにyoutube.com 彼らのトラフィックは削除されます。 次のコマンドを使用して、ルーターでこれを確認できます:
R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any 上には、クラスマップとの一致がブロックされていることがわかります。 どうやら誰かが手を差し伸べようとしたyoutube.com class-map class-defaultは他のすべてのトラフィックと一致し、許可されます。
