podczas tworzenia list dostępu lub zasad QoS (Quality of Service) zwykle używasz informacji warstw 1,2,3 i 4, aby dopasować je do określonych kryteriów. NBAR (Network Based Application Recognition) dodaje inteligencję warstw aplikacji do naszego routera Cisco IOS, co oznacza, że możemy dopasowywać i filtrować w oparciu o określone aplikacje.
powiedzmy, że chcesz zablokować określoną stronę internetową, jak Youtube.com. Zwykle wyszukujesz adresy IP, z których korzysta youtube i blokujesz osoby korzystające z listy dostępu, a może policji / kształtujesz je w swoich zasadach QoS. Za pomocą NBAR możemy dopasować adresy stron internetowych zamiast adresów IP. To znacznie ułatwia życie. Spójrzmy na przykład, gdy używamy NBAR do blokowania strony internetowej (na przykład youtube):
R1(config)#class-map match-any BLOCKEDR1(config-cmap)#match protocol http host "*youtube.com*"R1(config-cmap)#exitnajpierw stworzę mapę klas o nazwie „zablokowana” i użyję protokołu match do użycia NBAR. Jak widać pasuję do nazwy hosta „youtube.com”. * oznacza „dowolny znak”. Skutecznie zablokuje to wszystkie subdomeny youtube.com, na przykład „subdomain.youtube.com” zostanie również zablokowany. Teraz musimy stworzyć mapę polityki:
R1(config)#policy-map DROP R1(config-pmap)#class BLOCKEDR1(config-pmap-c)#dropR1(config-pmap-c)#exitpowyższa polisa-map pasuje do naszej-klasy-map zablokowana, a kiedy to pasuje ruch zostanie usunięty. Na koniec musimy zastosować policy-map do interfejsu:
R1(config)#interface fastEthernet 0/1 R1(config-if)#service-policy output DROPzastosuję mapę zasad do interfejsu podłączonego do Internetu. Teraz, gdy ktoś próbuje dotrzeć youtube.com ich ruch zostanie przerwany. Możesz to sprawdzić na swoim routerze za pomocą następującego polecenia:
R1#show policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy output: DROP Class-map: BLOCKED (match-any) 1 packets, 500 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*youtube.com*" 1 packets, 500 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 6101 packets, 340841 bytes 5 minute offered rate 10000 bps, drop rate 0 bps Match: any powyżej widać, że mamy mecz dla naszej klasy-Mapa zablokowana. Najwyraźniej ktoś próbował dodzwonić się do youtube.com. class-map class-default pasuje do całego innego ruchu i jest to dozwolone.
