NBAR 정책 시행을 위해 특정 IP 또는 MAC 주소를 어떻게 지정합니까?

사무실 환경에서 Cisco ISR 라우터를 사용하여 YouTube를 차단하려면 NBAR을 사용 하여 다음을 설정합니다 .

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

이것은 전역 구성이지만 IP 또는 MAC 주소를 통해 특정 워크 스테이션에만 적용되도록 어떻게 조정합니까?

ACL을 사용하여 차단하려는 모든 소스 IP 네트워크와 일치하는 클래스 맵에서 두 번째 일치 조건을 작성할 수 있습니다. 이 ACL과 일치하지 않는 소스 IP에서 youtube.com에 대한 요청은 삭제되지 않습니다.

핵심은 클래스 맵의 '일치 모두'또는 '일치 모두'부분입니다. 어느 쪽이든 클래스 맵을 구성 할 수 있습니다.

class-map {match-any | match-all} *class-map name*

"모두 일치"클래스 맵을 수행하는 경우 트래픽이 일치하려면 모든 일치 조건이 true 여야합니다. Jeremy가 언급했듯이 특정 사용자와 일치하고 원하는 작업을 수행하는 일치하는 ACL을 작성하십시오.

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

ip nbar의 프로토콜을 업데이트하기 위해 Cisco 스위치 펌웨어 업그레이드

ssl이 아닌 http 프로토콜과 만 일치하기 때문에 YouTube.com을 위해 특별히 준비된 프로토콜이 이미 있으며, 둘 다 google.com에 사용되므로 YouTube에 ssl 프로토콜을 사용할 수 없으므로 Google을 차단합니다.

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

명령은 장치 버전과 다릅니다.

더 이상 라우터로 youtube.com을 차단할 수 있다고 생각하지 않습니다. YouTube.com은 이제 HTTPS를 통해 실행되므로 라우터가 패킷을 검사 할 수 없습니다. 가장 좋은 방법은 youtube.com에 대한 DNS 요청을 차단하여 실제 YouTube 서버에 도달 할 수 없도록하는 것입니다.