خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
بلاک کردن وب سایت ها با NBAR روی روترهای سیسکو
هنگام ایجاد access-list یا Policy های QoS معمولاً از اطلاعات لایه 1،2،3 و 4 برای مطابقت با معیارها و پارامترهای خاصی استفاده می کنید. نرم افزار منبع باز NBAR یا Network Based Application Recognition هوشمندی لایه Application را به روتر IOS Cisco ما اضافه می کند، به این معنی که ما می توانیم بر اساس فیلترینگ را بر اساس برنامه های خاص انجام دهیم.
فرض کنید می خواهید وب سایت خاصی مانند rahkarsoft.com را مسدود کنید. به طور معمول شما آدرس های IP مورد استفاده YouTube را جستجو می کنید و آدرس هایی را که از access-list اضافه کرده اید و یا شاید آنها را در policy های QoS خود تنظیم نموده اید، فیلترینگ را اعمال کنید.
بیایید به نمونه ای نگاه کنیم که در آن از NBAR برای مسدود کردن وب سایت استفاده می شود و برای مثال به وب سایت rahkarsoft.com می پردازیم و می خواهیم آن را فیلتر کنیم:
ابتدای امر یک class-map با نام BLOCKED ایجاد می کنیم و از پروتکل match برای استفاده از NBAR استفاده می کنم. همانطور که می بینید هاست مورد نظر "rahkarsoft.com" می باشد. وجود * در دو طرف آن به معنی این است که قبل و بعد از rahkarsoft.com هر چیزی که وجود داشته باشد را شامل شود. یعنی خود دامین rahkarsoft.com و همه sub domain های آن فیلتر می شود. حالا باید یک policy-map ایجاد کنیم.
policy-map ما با class-map که بالاتر با نام BLOCKED ایجاد کردیم، مطابقت دارد. و در صورت مطابقت این ترافیک Drop می شود. آخرین و مهمترین نکته این است که ما باید ن policy-map را روی اینترفیس اعمال کنیم:
توجه داشته باشید که policy-map روی اینترفیس که به اینترنت دسترسی دارد، اعمال شده است. در حال حاضر هر زمان که کاربری در صدد دسترسی به وب سایت rahkarsoft.com باشد، ترافیک وی Drop خواهد شد.
با کمک دستور زیر می توانید تاییدیه هر آنچه که تا به الان روی روتر انجام شده را مشاهده کنید:
فرض کنید می خواهید وب سایت خاصی مانند rahkarsoft.com را مسدود کنید. به طور معمول شما آدرس های IP مورد استفاده YouTube را جستجو می کنید و آدرس هایی را که از access-list اضافه کرده اید و یا شاید آنها را در policy های QoS خود تنظیم نموده اید، فیلترینگ را اعمال کنید.
بیایید به نمونه ای نگاه کنیم که در آن از NBAR برای مسدود کردن وب سایت استفاده می شود و برای مثال به وب سایت rahkarsoft.com می پردازیم و می خواهیم آن را فیلتر کنیم:
R1(config)#class-map match-any BLOCKED
R1(config-cmap)#match protocol http host "*rahkarsoft.com*"
R1(config-cmap)#exit
ابتدای امر یک class-map با نام BLOCKED ایجاد می کنیم و از پروتکل match برای استفاده از NBAR استفاده می کنم. همانطور که می بینید هاست مورد نظر "rahkarsoft.com" می باشد. وجود * در دو طرف آن به معنی این است که قبل و بعد از rahkarsoft.com هر چیزی که وجود داشته باشد را شامل شود. یعنی خود دامین rahkarsoft.com و همه sub domain های آن فیلتر می شود. حالا باید یک policy-map ایجاد کنیم.
R1(config)#policy-map DROP
R1(config-pmap)#class BLOCKED
R1(config-pmap-c)#drop
R1(config-pmap-c)#exit
policy-map ما با class-map که بالاتر با نام BLOCKED ایجاد کردیم، مطابقت دارد. و در صورت مطابقت این ترافیک Drop می شود. آخرین و مهمترین نکته این است که ما باید ن policy-map را روی اینترفیس اعمال کنیم:
R1(config)#interface fastEthernet 0/1
R1(config-if)#service-policy output DROP
توجه داشته باشید که policy-map روی اینترفیس که به اینترنت دسترسی دارد، اعمال شده است. در حال حاضر هر زمان که کاربری در صدد دسترسی به وب سایت rahkarsoft.com باشد، ترافیک وی Drop خواهد شد.
با کمک دستور زیر می توانید تاییدیه هر آنچه که تا به الان روی روتر انجام شده را مشاهده کنید:
R1#show policy-map interface fastEthernet 0/1
FastEthernet0/1
Service-policy output: DROP
Class-map: BLOCKED (match-any)
1 packets, 500 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http host "*Rahkarsoft.com*"
1 packets, 500 bytes
5 minute rate 0 bps
drop
Class-map: class-default (match-any)
6101 packets, 340841 bytes
5 minute offered rate 10000 bps, drop rate 0 bps
Match: any
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: