ADvise писал(а):что мой роутер поддерживает NBAR
http://www.cisco.com/en/US/docs/ios/12_ ... fcmd5.htmlmatch protocol http
To configure Network-Based Application Recognition (NBAR) to match Hypertext Transfer Protocol (HTTP) traffic by URL, HOST, or Multipurpose Internet Mail Extension (MIME)-type, use the match protocol http class-map configuration command. To disable NBAR from matching HTTP traffic by URL, HOST, or MIME-type, use the no form of this command.
match protocol http [url url-string | host hostname-string | mime MIME-type]
no match protocol http [url url-string | host hostname-string | mime MIME-type]
police
To configure the Traffic Policing feature, use the police QoS policy-map class configuration command. To remove the Traffic Policing feature from the configuration, use the no form of this command.
police bps burst-normal burst-max conform-action action exceed-action action [violate-action action]
no police bps burst-normal burst-max conform-action action exceed-action action [violate-action action]
ADvise писал(а):делал просто
drop
но почему то проходили пакеты
судя по
этому:
This example will block HTTP traffic to the social network site Facebook.
- Код: Выделить всё
class-map match-all facebook
match protocol http host "*facebook.com"
!
policy-map nofacebook
class facebook
drop
!
interface FastEthernet4
service-policy output nofacebook
попробуй поменять
ADvise писал(а):class-map match-any c-http
на
class-map match-all c-http
должно работать
или это м.б. баг в твоей версии IOS, который был исправлен в других версиях, бывает такое. Он у тя свежий ?
фильтровать подобное на пограничном роутере не стоит
пограничный роутер должен разгребать внешнюю маршрутизацию и передавать трафик как можно быстрее, в этом его главная задача.
если на него и вешать какую то фильтрацию, то она должна быть минимальной.
подобные фильтры должны стоять на оборудовании в access уровне, а не в core уровне сети, т.е. чем ближе к источнику тем лучше.
