NBAR नीति प्रवर्तन के लिए कुछ IP या MAC पतों को कैसे निर्दिष्ट करता है?

9

एक कार्यालय के माहौल में, अगर मैं एक सिस्को ISR राउटर का उपयोग करके YouTube को ब्लॉक करना चाहता था, तो मैं NBAR के साथ निम्नलिखित सेट करूंगा :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

यह एक वैश्विक कॉन्फ़िगरेशन है, लेकिन कोई इसे कैसे ट्विस्ट करता है ताकि यह केवल कुछ वर्कस्टेशन (आईपी या मैक पते के माध्यम से) पर लागू हो?

— lamp_scaler
स्रोत

3

अधिकांश नेटवर्क इंजीनियर्स विवरण के साथ रहते हैं - आप एक CLI बनाम जीयूआई में इतना समय के साथ होना है - तो सामान्य रूप से अपने मैच आद्य बयान होगा *.youtube.comबजाय *youtube.com*जब तक आप भी "ihateyoutube.com" जैसी साइटों को ब्लॉक करने का इरादा (यकीन नहीं अगर वह असली है)।

— 18 नवंबर को

क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको उत्तर को स्वीकार करना चाहिए ताकि प्रश्न हमेशा के लिए पॉपअप न हो जाए, उत्तर की तलाश में है। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।

— रॉन Maupin

9

आप क्लास-मैप में एक दूसरे मैच की स्थिति बना सकते हैं, जिसमें आप (एसीएल के साथ) ब्लॉक करने वाले सभी सोर्स आईपी नेटवर्क से मेल खाते हों। इस ACL से मेल नहीं खाने वाले स्रोत से youtube.com के लिए कोई भी अनुरोध नहीं छोड़ा जाएगा।

— जेरेमी स्ट्रेच
स्रोत

9

कुंजी 'मैच-ऑल' या 'मैच-कोई' क्लास-मैप का हिस्सा है। आप क्लास-मैप को किसी भी तरह से कॉन्फ़िगर कर सकते हैं।

class-map {match-any | match-all} *class-map name*

यदि आप "मैच-ऑल" क्लास-मैप करते हैं, तो मैच के ट्रैफिक के लिए मैच की सभी शर्तें सही होनी चाहिए। जैसा कि जेरेमी ने उल्लेख किया है, विशेष उपयोगकर्ताओं से मेल खाते हुए एसीएल का निर्माण करना और जो आप चाहते हैं वह करना होगा।

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

— केलर जी
स्रोत

यहां "मैच-ऑल" के महत्व को इंगित करते हुए अच्छी कॉल। मैंने इसका उल्लेख करने की उपेक्षा की।

— जेरेमी स्ट्रेच

यदि परिस्थितियाँ कुछ IP के साथ-साथ कई मेजबानों के साथ मिलान करने के लिए हैं, तो मैच-मैच यहाँ कैसे प्रभावी होगा? मेरा मानना है कि कॉन्फिग को थोड़ा ट्वीक करने की जरूरत है? यहाँ मामला कई प्रकार के लोगों के लिए कई वेबसाइटों को ब्लॉक करने का है।

— लैम्प_स्कलर

मैच-ऑल एक होना चाहिए क्योंकि आप स्रोत होस्ट के साथ-साथ URL पर भी मैच करना चाहते हैं। जैसा कि मैंने आपकी अन्य पोस्ट पर अपनी टिप्पणी में कहा है कि यदि आप मैच का उपयोग करना चाहते हैं, तो आपको प्रति URL एक वर्ग बनाना होगा जिसे आप ब्लॉक करना चाहते हैं।

— बड़ा पत्थर जूना

1

IP nbar के लिए प्रोटोकॉल को अपडेट करने के लिए cisco स्विच फर्मवेयर को अपग्रेड करें

YouTube.com के लिए विशेष रूप से पहले से ही एक प्रोटोकॉल तैयार है, क्योंकि यह केवल http प्रोटोकॉल से मेल खाता है ssl नहीं है, और आप YouTube के लिए ssl प्रोटोकॉल का उपयोग नहीं कर सकते क्योंकि इसके दोनों का उपयोग google.com के लिए किया जा रहा है, इसे अवरुद्ध करना Google को भी अवरुद्ध करेगा।

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

ध्यान दें कि कमांड डिवाइस के संस्करणों से भिन्न हैं

— PauAI
स्रोत

संपादन के लिए धन्यवाद इसे स्वयं संपादित करना था। इसके अतिरिक्त डिवाइस मैनुअल प्रत्येक कमांड के लिए सभी विस्तृत उत्तर देता है।

— PauAI

-1

मुझे विश्वास नहीं है कि आप अपने राउटर के साथ youtube.com को ब्लॉक कर सकते हैं। YouTube.com अब HTTPS से अधिक चलता है जो राऊटर को पैकेट का निरीक्षण करने से रोक देगा। आपकी सबसे अच्छी शर्त संभवत: youtube.com के DNS अनुरोधों को अवरुद्ध करना है ताकि वे वास्तविक youtube सर्वर तक नहीं पहुंच सकें।

— knotseh
स्रोत