Comment spécifier certaines adresses IP ou MAC pour l'application des politiques NBAR?

9

Dans un environnement de bureau, si je voulais bloquer youtube à l'aide d'un routeur Cisco ISR, je configurerais ce qui suit avec NBAR :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Il s'agit d'une configuration globale, mais comment la modifier pour qu'elle ne s'applique qu'à certaines stations de travail (via des adresses IP ou MAC)?

lamp_scaler
la source
3
La plupart des ingénieurs réseau sont obsédés par les détails - vous devez être avec autant de temps dans une interface CLI vs GUI - donc normalement votre déclaration de proto de match serait *.youtube.comau lieu de, *youtube.com*sauf si vous aviez l'intention de bloquer également des sites comme "ihateyoutube.com" (pas sûr si celui-ci est réel).
generalnetworkerror
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

9

Vous pouvez créer une deuxième condition de correspondance dans le mappage de classe correspondant à tous les réseaux IP source que vous souhaitez bloquer (avec une ACL). Toute demande adressée à youtube.com à partir d'une adresse IP source ne correspondant pas à cette ACL ne sera pas supprimée.

Jeremy Stretch
la source
9

La clé est la partie «match-all» ou «match-any» de la carte de classe. Vous pouvez configurer le class-map dans les deux cas.

class-map {match-any | match-all} *class-map name*

Si vous effectuez un mappage de classe "match-all", toutes les conditions de correspondance doivent être remplies pour que le trafic corresponde. Comme Jeremy l'a mentionné, créer une ACL correspondant aux utilisateurs particuliers et une correspondance qui fera ce que vous voulez.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G
la source
Bon appel soulignant l'importance de "match-all" ici. J'ai oublié de le mentionner.
Jeremy Stretch
Si les conditions doivent correspondre à certaines adresses IP avec N'IMPORTE QUEL hôte multiple, comment le match-all serait-il efficace ici? Je crois que la configuration doit être un peu modifiée? Le cas ici est de bloquer plusieurs sites Web pour plusieurs types de personnes.
lamp_scaler
Le match-all est un must car vous souhaitez faire correspondre en fonction de l'hôte source ainsi que de l'URL. Comme je l'ai indiqué dans mon commentaire sur votre autre article, si vous souhaitez utiliser la fonction de correspondance générale, vous devrez créer une classe par URL que vous souhaitez bloquer.
bigmstone
1

Mettre à niveau le firmware du commutateur Cisco pour mettre à jour les protocoles pour IP Nbar

il existe déjà un protocole spécialement conçu pour YouTube.com, car il ne correspond qu'au protocole http et non à ssl, et vous ne pouvez pas utiliser le protocole ssl pour YouTube car il est utilisé pour google.com, le bloquer bloquerait également Google

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Notez que les commandes diffèrent des versions d'appareils

PauAI
la source
Merci pour l'édition était sur le point de le modifier moi-même. De plus, le manuel de l'appareil donne toutes les réponses détaillées pour chaque commande.
PauAI
-1

Je ne pense pas que vous puissiez bloquer youtube.com avec votre routeur. YouTube.com fonctionne maintenant sur HTTPS, ce qui empêcherait le routeur d'inspecter les paquets. Votre meilleur pari est probablement de bloquer les demandes DNS pour youtube.com afin qu'elles ne puissent pas atteindre les serveurs youtube réels.

knotseh
la source