Wie werden bestimmte IPs oder MAC-Adressen für die Durchsetzung von NBAR-Richtlinien angegeben?

9

Wenn ich in einer Büroumgebung YouTube mit einem Cisco ISR-Router blockieren wollte, würde ich mit NBAR Folgendes einrichten :

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

Dies ist eine globale Konfiguration, aber wie kann man sie so anpassen, dass sie nur für bestimmte Workstations gilt (über IP- oder MAC-Adressen)?

lamp_scaler
quelle
3
Die meisten Netzwerktechniker mit Details besessen sind - Sie in einem CLI vs GUI mit so viel Zeit sein - so normalerweise Ihr Spiel proto - Anweisung wäre *.youtube.comstatt , *youtube.com*es sei denn Sie sollten auch Websites blockieren wie „ihateyoutube.com“ (nicht sicher , wenn das echt ist).
Generalnetworkerror
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

9

Sie können eine zweite Übereinstimmungsbedingung in der Klassenzuordnung erstellen, die allen zu blockierenden Quell-IP-Netzwerken entspricht (mit einer ACL). Anfragen an youtube.com von einer Quell-IP, die nicht mit dieser ACL übereinstimmt, werden nicht verworfen.

Jeremy Stretch
quelle
9

Der Schlüssel ist der "Match-All" - oder "Match-Any" -Teil der Klassenzuordnung. Sie können die Klassenzuordnung so oder so konfigurieren.

class-map {match-any | match-all} *class-map name*

Wenn Sie eine "Match-All" -Klassenzuordnung erstellen, müssen alle Übereinstimmungsbedingungen erfüllt sein, damit der Datenverkehr übereinstimmt. Wie Jeremy bereits erwähnt hat, erstellt das Erstellen einer ACL, die den jeweiligen Benutzern entspricht, und das Übereinstimmen, was Sie möchten.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE
Keller G.
quelle
Guter Anruf, der auf die Bedeutung von "Match-All" hinweist. Ich habe es versäumt, das zu erwähnen.
Jeremy Stretch
Wenn die Bedingungen darin bestehen, dass bestimmte IPs zusammen mit JEDEM von mehreren Hosts übereinstimmen, wie würde das Match-All hier effektiv sein? Ich glaube, die Konfiguration muss ein bisschen angepasst werden? Der Fall hier ist, mehrere Websites für mehrere Arten von Personen zu blockieren.
lamp_scaler
Das Match-All ist ein Muss, da Sie eine Übereinstimmung basierend auf dem Quellhost sowie der URL erzielen möchten. Wie ich in meinem Kommentar zu Ihrem anderen Beitrag angegeben habe, müssen Sie eine Klasse pro URL erstellen, die Sie blockieren möchten, wenn Sie Match-All verwenden möchten.
Bigmstone
1

Aktualisieren Sie die Cisco Switch-Firmware, um die Protokolle für ip nbar zu aktualisieren

Es gibt bereits ein Protokoll, das speziell für YouTube.com bereit ist, da es nur mit dem http-Protokoll und nicht mit ssl übereinstimmt. Sie können das ssl-Protokoll nicht für YouTube verwenden, da beide für google.com verwendet werden. Wenn Sie es blockieren, wird auch Google blockiert

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

Beachten Sie, dass sich die Befehle von den Geräteversionen unterscheiden

PauAI
quelle
Vielen Dank für die Bearbeitung war im Begriff, es selbst zu bearbeiten. Zusätzlich enthält das Gerätehandbuch alle detaillierten Antworten für jeden Befehl.
PauAI
-1

Ich glaube nicht, dass du youtube.com mehr mit deinem Router blockieren kannst. YouTube.com läuft jetzt über HTTPS, wodurch der Router die Pakete nicht mehr überprüfen kann. Am besten blockieren Sie wahrscheinlich die DNS-Anfragen für youtube.com, damit sie die tatsächlichen YouTube-Server nicht erreichen können.

knotseh
quelle