English
网站导航
 
 


 
  : 咨询热线
 考试咨询  培训咨询  MSN咨询

公司地址:深圳市罗湖区


服务列表

课程列表
培训课程介绍
红帽redhat
CISCO思科认证
Aruba认证课程
IPV6课程
CWNP无线认证
H3C认证
Oracle认证
企业实战培训
CIW网络认证

>>>>>进入技术文摘 列表
 

利用CISCO的MQC和NBAR深度检测技术过滤网站


点击进入:技术文摘  专栏  添加时间: 2010-5-7 11:55:30  阅读数: 3518
 

利用CISCO的MQC和NBAR深度检测技术来过滤网站

                                                                作者:黎老师    转载请注明出处

 

             NBAR可以检测识别各种应用协议,包括使用静态端口的、非TCP/UDPIP层协议、使用动态端口的、伪装其他端口的(采用深度报文检查,检查某些位置的字段,不是全部载荷都检查,又称为Application Inspection)。NBAR还支持用户定义的应用,比如使用某个端口等。

下面我们就采用CISCONBAR深度检测功能来匹配Website的主机头或者URL来过来网页或者网页中的特定文件。

测试环境:一台路由器(需要上网)以及一台测试PC

 

 

初始配置:

PC1                      IP-Address 192.168.10.11/24

                           GW 192.168.10.1

Router                 NAT Inside接口IP-Address 192.168.10.1/24

NAT Outside接口配置PPPoE拨号       

全局配置下启用NAT     确保PC1能够正常上网

测试环境一:不允许访问新浪所有网页

第一步:

测试PC1能否正常访问新浪主页以及各个子链接

 

 

第二步:

Cwnpchina路由器上配置NBAR深度检测功能,允许PC1访问除了新浪以外的所有网页

 

路由器Cwnpchina上的NBAR配置:

Cwnpchina#

Cwnpchina#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cwnpchina(config)#class-map ONT

Cwnpchina(config-cmap)#match protocol http host *sina.com*

指定匹配主机头包含sina.com的所有页面( http://www.sina.com.cn 或者http://sports.sina.com.cn/ )

Cwnpchina(config-cmap)#exit

Cwnpchina(config)#policy-map ONT

Cwnpchina(config-pmap)#class ONT

Cwnpchina(config-pmap-c)#drop  丢弃匹配ONT类别的流量

Cwnpchina(config-pmap-c)#exit

Cwnpchina(config-pmap)#exit

Cwnpchina(config)#int dialer 0

Cwnpchina(config-if)#service-policy output ONT  应用在拨号口的出方向

Cwnpchina(config-if)#end

验证配置是否成功:访问新浪主页之前查看接口下的Policy-map流量

Cwnpchina#show policy-map interface dialer 0

 Dialer0

  Service-policy output: ONT

    Class-map: ONT (match-all)

      0 packets, 0 bytes

      5 minute offered rate 0 bps, drop rate 0 bps    未访问新浪网页时没有匹配ONT的流量

      Match: protocol http host "*sina.com*"

      drop

 Class-map: class-default (match-any)

      27 packets, 4595 bytes

      5 minute offered rate 7000 bps, drop rate 0 bps

      Match: any

 

访问新浪主页和子链接以及雅虎主页做对比

通过过滤HTTP的主机头来过滤网页成功

访问新浪主页之后查看接口下的Policy-map流量

Cwnpchina#show policy-map interface dialer 0

 Dialer0

  Service-policy output: ONT

    Class-map: ONT (match-all)

      42 packets, 27528 bytes

      5 minute offered rate 1000 bps, drop rate 1000 bps  访问新浪网页时匹配ONT的流量背丢弃

      Match: protocol http host "*sina.com*"

      drop

    Class-map: class-default (match-any)

      3957 packets, 571734 bytes

      5 minute offered rate 9000 bps, drop rate 0 bps

      Match: any

 

 

测试环境二:允许访问新浪所有网页,不允许下载新浪网站的图片

路由器Cwnpchina上的NBAR配置:

Cwnpchina#

Cwnpchina#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Cwnpchina(config)#class-map ONT

Cwnpchina(config-cmap)#match protocol http host *sinaimg.cn*

Cwnpchina(config-cmap)#match protocol http url *.jpeg|*.jpg|*.mpeg|*.gif

指定匹配主机头包含sinaimg.cnURL后缀为JPEG|JPG|MPEG|GIF的图片

Cwnpchina(config-cmap)#exit

Cwnpchina(config)#class-map ONT-2

Cwnpchina(config-cmap)#match protocol http host *sina.com*

Cwnpchina(config-cmap)#Match protocol http url *.jpeg|*.jpg|*.mpeg|*.gif  

指定匹配主机头包含sina.comURL后缀为JPEG|JPG|MPEG|GIF的图片

Cwnpchina(config-cmap)#exit

Cwnpchina(config)#policy-map ONT

Cwnpchina(config-pmap)#class ONT

Cwnpchina(config-pmap-c)#drop  丢弃匹配ONT类别的流量

Cwnpchina(config-pmap)#class ONT-2

Cwnpchina(config-pmap-c)#drop  丢弃匹配ONT-2类别的流量

Cwnpchina(config-pmap-c)#exit

Cwnpchina(config-pmap)#exit

Cwnpchina(config)#int dialer 0

Cwnpchina(config-if)#service-policy output ONT  应用在拨号口的出方向

Cwnpchina(config-if)#end

 

访问新浪主页和子链接 以及雅虎主页做对比

访问新浪主页之后查看接口下的Policy-map流量

Cwnpchina#show  policy-map interface dialer 0

 Dialer0

  Service-policy output: ONT

    Class-map: ONT (match-all)

      3438 packets, 1636680 bytes

      5 minute offered rate 6000 bps, drop rate 6000 bps

      Match: protocol http url "*.jpeg|*.jpg|*.mpeg|*.gif"

      Match: protocol http host "*sinaimg.cn*"

      drop

    Class-map: ONT-2 (match-all)

      342 packets, 227055 bytes

      5 minute offered rate 6000 bps, drop rate 6000 bps

      Match: protocol http host "*sina.com*"

      Match: protocol http url "*.jpeg|*.jpg|*.mpeg|*.gif"

      drop

    Class-map: class-default (match-any)

      33574 packets, 3922554 bytes

      5 minute offered rate 26000 bps, drop rate 0 bps

      Match: any

 

 

 

测试成功

 

 

 

 

 

 

 

 

 

 

 
合作伙伴
             
地址:广东省深圳市罗湖区宝安南路2014号振业大厦A座15A-B(地王大厦旁) Email:kevinzhu#cntimes.biz(将#改为@)
电话:0755-25022500 25025151 传真:0755-25022400  ICP备案:粤ICP备14017173号 网站优化方案