Bagaimana cara menentukan IP atau alamat MAC tertentu untuk penegakan kebijakan NBAR?

9

Di lingkungan kantor, jika saya ingin memblokir youtube menggunakan router Cisco ISR, saya akan mengatur yang berikut dengan NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Ini adalah konfigurasi global, tetapi bagaimana cara mengubahnya sehingga hanya berlaku untuk workstation tertentu (melalui alamat IP atau MAC)?

cisco router qos cisco-isr lamp_scaler
sumber
3
Sebagian besar Insinyur Jaringan terobsesi dengan detail - Anda harus memiliki begitu banyak waktu dalam CLI vs GUI - jadi biasanya pernyataan proto pertandingan Anda akan *.youtube.comalih - alih *youtube.com*kecuali jika Anda bermaksud juga memblokir situs seperti "ihateyoutube.com" (tidak yakin jika itu asli).
generalnetworkerror
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

9

Anda bisa membuat kondisi kecocokan kedua di kelas-peta yang cocok dengan semua jaringan IP sumber yang ingin Anda blokir (dengan ACL). Setiap permintaan ke youtube.com dari IP sumber yang tidak cocok dengan ACL ini tidak akan dibatalkan.

Jeremy Stretch
sumber
9

Kuncinya adalah bagian 'cocokkan semua' atau 'cocokkan apa saja' di peta kelas. Anda dapat mengkonfigurasi peta kelas dengan cara apa pun.

class-map {match-any | match-all} *class-map name*

Jika Anda melakukan peta kelas "cocok untuk semua", semua kondisi pertandingan harus benar agar lalu lintas cocok. Seperti yang disebutkan Jeremy, membuat ACL cocok dengan pengguna tertentu dan cocok yang akan melakukan apa yang Anda inginkan.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G
sumber
Panggilan bagus menunjukkan pentingnya "cocokkan semua" di sini. Saya lupa menyebutkan itu.
Jeremy Stretch
Jika syaratnya adalah untuk mencocokkan IP tertentu dengan APAPUN dari beberapa host, bagaimana semua pertandingan akan efektif di sini? Saya percaya konfigurasi perlu sedikit diubah? Kasusnya di sini adalah memblokir beberapa situs web untuk beberapa jenis orang.
lamp_scaler
Cocokkan semua adalah suatu keharusan karena Anda ingin mencocokkan berdasarkan host sumber serta URL. Seperti yang saya nyatakan dalam komentar saya di posting Anda yang lain jika Anda ingin menggunakan yang cocok-semua maka Anda harus membuat kelas per URL yang ingin Anda blokir.
bigmstone
1

Tingkatkan firmware sakelar cisco untuk memperbarui protokol untuk ip nbar

sudah ada protokol yang siap khusus untuk YouTube.com, karena hanya cocok dengan protokol http tidak ssl, dan Anda tidak dapat menggunakan protokol ssl untuk YouTube karena keduanya digunakan untuk google.com, memblokirnya akan memblokir Google juga 

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Perhatikan bahwa perintah berbeda dari versi perangkat

PauAI
sumber
Terima kasih atas hasil editnya akan diedit sendiri. Selain itu manual perangkat memberikan semua jawaban terperinci untuk setiap perintah.
PauAI
-1

Saya tidak percaya Anda dapat memblokir youtube.com dengan router Anda lagi. YouTube.com menjalankan lebih dari HTTPS sekarang yang akan melarang router dari memeriksa paket-paket. Taruhan terbaik Anda adalah dengan mungkin memblokir permintaan DNS untuk youtube.com sehingga mereka tidak dapat mencapai server youtube yang sebenarnya.

knotseh
sumber