NBAR на cisco outpost 3825

Все остальное

NBAR на cisco outpost 3825

Сообщение ADvise » 20 апр 2011, 13:44

Всем привет.

озадачила прокуратура нас, как интернет провайдера, закрыть доступ до (список сайтов торгующие курительными смесями) на пограничном роутере.
почитал мануал, нашел, что мой роутер поддерживает NBAR
быстро по мануалу набил конфиг,
Код: Выделить всё
class-map match-any c-http
 match protocol http host "*xxxxxxxx.com"

policy-map NO_DRUG
 class c-http
   police cir 8000
     conform-action drop
     exceed-action drop

interface GigabitEthernet0/0.100
 description ### prov_uplink ###
 service-policy input NO_DRUG


правда сначало вместо
Код: Выделить всё
   police cir 8000
     conform-action drop
     exceed-action drop

делал просто
drop
но почему то проходили пакеты. посоветовался - сказали так сделать. Блокирует. Но сказали, проц будет сильно грузится...

Собственно вопрос, есть ли оптимальное решение данного вопроса? Пока нагрузки особой не вижу, очень редко в пике до 70% проц загружается, и то, ооочень редко... .
ADvise
проходил мимо
 
Сообщения: 1
Зарегистрирован: 20 апр 2011, 12:24

Re: NBAR на cisco outpost 3825

Сообщение root » 20 апр 2011, 14:50

ADvise писал(а):что мой роутер поддерживает NBAR

http://www.cisco.com/en/US/docs/ios/12_ ... fcmd5.html
match protocol http

To configure Network-Based Application Recognition (NBAR) to match Hypertext Transfer Protocol (HTTP) traffic by URL, HOST, or Multipurpose Internet Mail Extension (MIME)-type, use the match protocol http class-map configuration command. To disable NBAR from matching HTTP traffic by URL, HOST, or MIME-type, use the no form of this command.

match protocol http [url url-string | host hostname-string | mime MIME-type]
no match protocol http [url url-string | host hostname-string | mime MIME-type]

police

To configure the Traffic Policing feature, use the police QoS policy-map class configuration command. To remove the Traffic Policing feature from the configuration, use the no form of this command.

police bps burst-normal burst-max conform-action action exceed-action action [violate-action action]
no police bps burst-normal burst-max conform-action action exceed-action action [violate-action action]

ADvise писал(а):делал просто
drop
но почему то проходили пакеты

судя по этому:
This example will block HTTP traffic to the social network site Facebook.
Код: Выделить всё
class-map match-all facebook
match protocol http host "*facebook.com"
!
policy-map nofacebook
class facebook
drop
!
interface FastEthernet4
service-policy output nofacebook

попробуй поменять
ADvise писал(а):class-map match-any c-http

на
class-map match-all c-http

должно работать
или это м.б. баг в твоей версии IOS, который был исправлен в других версиях, бывает такое. Он у тя свежий ?

фильтровать подобное на пограничном роутере не стоит
пограничный роутер должен разгребать внешнюю маршрутизацию и передавать трафик как можно быстрее, в этом его главная задача.
если на него и вешать какую то фильтрацию, то она должна быть минимальной.
подобные фильтры должны стоять на оборудовании в access уровне, а не в core уровне сети, т.е. чем ближе к источнику тем лучше.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 21