¿Cómo se especifican ciertas direcciones IP o direcciones MAC para la aplicación de la política NBAR?

9

En un entorno de oficina, si quisiera bloquear YouTube usando un enrutador Cisco ISR, configuraría lo siguiente con NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Esta es una configuración global, pero ¿cómo se ajusta para que solo se aplique a ciertas estaciones de trabajo (a través de direcciones IP o MAC)?

cisco router qos cisco-isr lamp_scaler
fuente
3
La mayoría de los ingenieros de redes están obsesionados con los detalles: debe pasar tanto tiempo en una CLI frente a una GUI, por lo que normalmente su declaración de proto de coincidencia sería en *.youtube.comlugar de a *youtube.com*menos que tuviera la intención de bloquear también sitios como "ihateyoutube.com" (no estoy seguro si ese es real).
generalnetworkerror
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

9

Puede crear una segunda condición de coincidencia en el mapa de clase que coincida con todas las redes IP de origen que desea bloquear (con una ACL). Cualquier solicitud a youtube.com desde una IP de origen que no coincida con esta ACL no se descartará.

Jeremy Stretch
fuente
9

La clave es la parte 'match-all' o 'match-any' del mapa de clase. Puede configurar el mapa de clase de cualquier manera.

class-map {match-any | match-all} *class-map name*

Si hace un mapa de clase "match-all", todas las condiciones de coincidencia deben ser verdaderas para que el tráfico coincida. Como Jeremy mencionó, crear una ACL que coincida con los usuarios particulares y la coincidencia que hará lo que desee.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G
fuente
Buena llamada señalando el significado de "combinar todo" aquí. Olvidé mencionar eso.
Jeremy Stretch
Si las condiciones coinciden con ciertas IP junto con CUALQUIERA de varios hosts, ¿cómo sería efectiva la coincidencia? ¿Creo que la configuración debe modificarse un poco? El caso aquí es bloquear múltiples sitios web para múltiples tipos de personas.
lamp_scaler
Match-all es imprescindible porque desea hacer coincidir según el host de origen y la URL. Como dije en mi comentario en su otra publicación, si desea usar match-all, deberá crear una clase por URL que desee bloquear.
bigmstone
1

Actualice el firmware del conmutador Cisco para actualizar los protocolos para ip nbar

ya hay un protocolo listo específicamente para YouTube.com, ya que solo coincide con el protocolo http, no SSL, y no puede usar el protocolo SSL para YouTube, ya que ambos se usan para google.com, bloquearlo también bloquearía a Google 

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Tenga en cuenta que los comandos difieren de las versiones del dispositivo

PauAI
fuente
Gracias por la edición estaba a punto de editarlo yo mismo. Además, el manual del dispositivo proporciona todas las respuestas detalladas para cada comando.
PauAI
-1

Ya no creo que puedas bloquear youtube.com con tu enrutador. YouTube.com ahora se ejecuta sobre HTTPS, lo que no permitiría al enrutador inspeccionar los paquetes. Su mejor opción es probablemente bloquear las solicitudes de DNS para youtube.com para que no puedan llegar a los servidores reales de youtube.

knotseh
fuente