Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1339564
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2013-09-03 10:56:25

一:NBAR简介:

基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.在使用NBAR的时候要先启用CEF特性.

数据包描述语言模块(PDLM)从路由器的闪存里加载,用于在不使用新的Cisco IOS软件,或重启路由器的情况下对新的协议或应用程序进行识别.

二.NBAR的限制?

NBAR不能在以下几种逻辑接口上使用:

1.快速以太网信道.

2.使用了隧道或加密技术的接口.

3.SVI.

4.拨号接口.

5.多链路PPP(MLP).

NBAR的一些限制:

1.不支持多于24个的并发URL,HOST或MINE的匹配类型.

2.不支持超过400字节的URL匹配.

3.不支持非IP流量.

4.不支持组播或其他非CEF的交换模式.

5.不支持被分片的数据包.

6.不支持源自或去往运行NBAR的路由器的IP流量.

 

三.如何配置NBAR?

配置NBAR的基本步骤:

1.启用CEF特性:

My3377(config)#ip cef

2.把流量分类,定义class map:

My3377(config)#class-map [match-all|match-any] {map-name}

3.定义NBAR要匹配的协议:

My3377(config-cmap)#match protocol {protocol}

4.设置policy map:

My3377(config)#policy-map {policy-name}

5.调用class map:

My3377(config-pmap)#class {class-map}

6.设置策略:

My3377(config-pmap-c)#{action}

7.把策略应用在接口上:

My3377(config-if)#service-policy {input|output} {policy-map}

四:用NBAR禁用QQ,禁发邮件,禁止FTP的例子.

实验要求:

1 禁用qq(假设QQ服务器在61.172.240.0网段;使用UDP的4000,8000端口)

2 禁止发邮件

3 禁止FTP

******************************

1 定义流量

MY3377(config)#class-map QQ                        //建一个名为QQ的class-map
MY3377(config-cmap)#match access-group name QQ
MY3377(config-cmap)#exi
MY3377(config)#ip access-list extended QQ
MY3377(config-ext-nacl)#permit ip any 61.172.240.0 0.0.0.255
MY3377(config-ext-nacl)#permit udp any any eq 4000         
MY3377(config-ext-nacl)#permit udp any any eq 8000
MY3377(config-ext-nacl)#exi

MY3377(config)#class-map smtp
MY3377(config-cmap)#match access-group 100
MY3377(config-cmap)#exi
MY3377(config)#access-list 100 permit tcp any any eq smtp

MY3377(config)#class-map ftp
MY3377(config-cmap)#match access-group 101
MY3377(config-cmap)#exi
MY3377(config)#access-list 101 permit tcp any any eq 20
MY3377(config)#access-list 101 permit tcp any any eq 21

 

2 定义策略

MY3377(config)#policy-map Robot                 //建立一个名为Robot的策略
MY3377(config-pmap)#class QQ
MY3377(config-pmap-c)#police 10000 conform-action drop exceed-action drop //意思是单位时间流量在10000以内或高于10000的QQ流量都被丢弃
MY3377(config-pmap)#class smtp
MY3377(config-pmap-c)#police 10000 conform-action drop exceed-action drop
MY3377(config-pmap)#class ftp
MY3377(config-pmap-c)#police 10000 conform-action drop exceed-action drop

3 应用到接口

MY3377(config)#int s1
MY3377(config-if)#service-policy output Robot         //将策略Robot应用到S1接口上

 

4 验证

R3#sh policy-map                                //查看策略
Policy Map Robot
    Class smtp
     police cir 10000 bc 1500
       conform-action drop
       exceed-action drop
    Class ftp
     police cir 10000 bc 1500
       conform-action drop
       exceed-action drop

阅读(2246) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~