- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Блокировка P2P/Торрент (*.torrents, DHT) трафика с помощью Cisco NBAR
Блокировка P2P/Торрент (*.torrents, DHT) трафика с помощью Cisco NBAR
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
1 год 10 мес. назад - 1 год 10 мес. назад #252
от PNV
COM_KUNENA_MESSAGE_CREATED_NEW
В продожение темы
" Как заблокировать P2P/Торрент (*.torrents, трекеры, DHT/PEX)"
, опишу другой способ блокировки P2P-трафика (на примере torrent-трафика) с помощью технологии Cisco NBAR (Network-Based Application Recognition).
Cisco NBAR появилась в IOS начиная с версии 12.0(5)XE2. При помощи NBAR, маршрутизатор способен различить большое количество различных протоколов/приложений на всех уровнях модели OSI, включая 7й уровень (например Skype, bittorent, exchange, facebook и др.). Данные NBAR, можно применить например для анализа трафика по протоколам и по SNMP отправлять на сервер мониторинга, для создания классов обслуживания (QoS), а также для создания политик доступа, при этом нет необходимости настраивать никаких сложных правил анализа заголовков пакетов при помощи различных regex-выражений, NBAR осуществляет весь анализ трафика самостоятельно и раскладывает по полочкам (т.е. по протоколам и приложениями
).
Использование данных NBAR осуществляется через функционал MQC (Modular QoS Command Line Interface), используя class-map, policy-map и service-policy.
Перейдем к практике. В примере будет использоваться маршрутизатор Cisco 3945 c IOS 15.4(3)M5. Включим NBAR для возможности просмотра типов трафика на интерфейсе (можно посмотреть какие протоколы и приложения проходят ч/з интерфейс, кол-во байт, пакетов по каждому протоколу, а также ТОП-10 тиреТОП-50 анализируемых протоколов), и заблокируем torrent-трафик для определённых внутрикорпоративных подсетей.
Включим анализатор трафика NBAR на интерфейсе, для возможности дальнейшего просмотра типов трафика, проходящих ч/з данный интерфейс. Данная к-да необязательна для настройки блокировки каких-либо типов трафика.
После включения NBAR на интерфейсе, можно сразу же посмотреть какой трафик ч/з него проходит:
Либо можно посмотреть например TOP-10 протоколов:
Теперь создадим class-map и policy-map для блокировки torrent-трафика для подсети 192.168.10.0/24, и применим service-policy на интерфейс:
При помощи команды match protocol в контексте class-map, автоматически включается функционал NBAR, внезависимости от использования интерфейсной к-ды ip nbar protocol-discovery.
Теперь можем посмотреть результат блокировки трафика:
К сожалению, при создании сложных class-map, просматривая sh policy-map, счетчики не изменяются по конкретным протоколам, изменяется лишь общий счётчик блокированных пакетов. Но если например оставить только class-map P2P и создать policy-map, включая только этот класс, то мы можем увидеть, как изменяется счётчик блокировки по протоколам.
Cisco NBAR появилась в IOS начиная с версии 12.0(5)XE2. При помощи NBAR, маршрутизатор способен различить большое количество различных протоколов/приложений на всех уровнях модели OSI, включая 7й уровень (например Skype, bittorent, exchange, facebook и др.). Данные NBAR, можно применить например для анализа трафика по протоколам и по SNMP отправлять на сервер мониторинга, для создания классов обслуживания (QoS), а также для создания политик доступа, при этом нет необходимости настраивать никаких сложных правил анализа заголовков пакетов при помощи различных regex-выражений, NBAR осуществляет весь анализ трафика самостоятельно и раскладывает по полочкам (т.е. по протоколам и приложениями
).Использование данных NBAR осуществляется через функционал MQC (Modular QoS Command Line Interface), используя class-map, policy-map и service-policy.
Перейдем к практике. В примере будет использоваться маршрутизатор Cisco 3945 c IOS 15.4(3)M5. Включим NBAR для возможности просмотра типов трафика на интерфейсе (можно посмотреть какие протоколы и приложения проходят ч/з интерфейс, кол-во байт, пакетов по каждому протоколу, а также ТОП-10 тиреТОП-50 анализируемых протоколов), и заблокируем torrent-трафик для определённых внутрикорпоративных подсетей.
Включим анализатор трафика NBAR на интерфейсе, для возможности дальнейшего просмотра типов трафика, проходящих ч/з данный интерфейс. Данная к-да необязательна для настройки блокировки каких-либо типов трафика.
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
!
interface GigabitEthernet0/1.88
description LAN
encapsulation dot1Q 88
ip address 192.168.1.1 255.255.255.0
ip nbar protocol-discovery #Включим анализатор трафика NBAR
ip nat inside
no cdp enable
!После включения NBAR на интерфейсе, можно сразу же посмотреть какой трафик ч/з него проходит:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
]
ROUTER-01# sh ip nbar protocol-discovery interface gigabitEthernet 0/1.88
GigabitEthernet0/1.88
Last clearing of "show ip nbar protocol-discovery" counters 22:57:47
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
1min Bit Rate (bps) 1min Bit Rate (bps)
1min Max Bit Rate (bps) 1min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
http 56751504 27517460
62686135994 12943341408
9274000 2861000
22821000 19041000
ssl 40451456 37823418
36863352835 36133082537
5901000 6577000
9836000 25116000
binary-over-http 7511960 6694227
4492495584 7219132556
685000 2072000
2025000 18769000
secure-http 2849685 6245255
485655258 8366008260
0 200000
607000 14964000
audio-over-http 764885 619538
53205690 850059844
14000 53000
243000 11654000
youtube 1360361 2673244
125986312 3823139199
5000 413000
299000 11436000
bittorrent-networking 734438 638658
596246508 175278792
0 0
1992000 7722000
apple-services 588030 570190
264814040 649074031
0 0
3498000 4115000
facebook 817356 1274049
74839768 1732892571
3000 5000
301000 7061000
apple-app-store 99989 168631
7365516 242398676
0 0
125000 7036000
bittorrent 4478674 2879124
6066386638 238137694
0 3000
6004000 1004000
google-services 1508046 90319
341091962 78612142
25000 0
2240000 3534000
video-over-http 283434 513442
21997393 710372809
0 0
131000 5454000
skype 145579 212420
22340145 247487060
15000 0
266000 5223000
dropbox 148103 202728
40105943 253572827
0 0
359000 4492000
ms-update 313599 84767
58834173 97411959
0 0
177000 3422000
edonkey 41940 73849
3047764 105690364
0 0
94000 3125000
teredo-ipv6-tunneled 1076143 841997
1147197535 100004749
1000 1000
3023000 120000
whatsapp 93200 118737
55937565 144248686
0 0
732000 2362000
amazon-web-services 128819 117487
124223362 66765397
0 0
2362000 638000
skydrive 16116 9187
20958453 2140914
0 0
2101000 56000
smtp 158959 85546
191629397 6661240
6000 2000
1777000 59000
windows-azure 38382 31657
13027131 26970519
0 3000
1056000 240000
apple-ios-updates 11585 16925
851496 24249415
0 0
47000 1209000
gmail 81481 0
43735021 0
0 0
1209000 0
internet-video-streaming 8074 8147
725404 11409813
0 0
23000 919000
ares 14009 26789
1218485 36741982
0 0
25000 782000
itunes 43089 49045
9337756 48267458
0 0
25000 680000
linkedin 19572 43514
2286016 56543743
0 0
19000 683000
twitter 25433 36478
4927636 39704617
0 0
77000 544000
ms-office-web-apps 113299 96256
25946308 82603752
1000 6000
91000 425000
secure-imap 58707 28567
6229742 10810692
1000 0
22000 469000
ftp-data 2561 1263
3676370 76899
0 0
435000 10000
encrypted-emule 3943 4255
1082559 4301349
0 0
61000 367000
pcoip 0 6176
0 8121716
0 0
0 387000
socks 3976 15379
628737 16974401
0 0
14000 343000
icloud 50407 50459
13848284 32327414
0 0
53000 281000
dns 5287140 5209991
522149056 1745011205
54000 167000
80000 222000
stun-nat 17964 23301
7173590 8067171
0 0
110000 162000
secure-smtp 2029 26
2808523 2820
0 0
238000 0
rtp 26645 13434
4929539 3007275
0 0
112000 102000
itunes-video 1027 1593
75997 2277716
0 0
7000 205000
submission 1989 0
2798978 0
0 0
207000 0
outlook-web-service 15789 20340
2723008 20387613
0 0
25000 165000
wikipedia 6564 11723
756531 14102428
0 0
6000 150000
google-docs 816526 0
148576104 0
33000 0
144000 0
netflix 3672 3947
1864729 3789241
0 0
30000 85000
ms-live-accounts 33208 41818
10697254 31698012
0 0
31000 76000
imap 1251 2798
119188 2956640
0 0
6000 96000
flash-video 823 471
1126525 38032
0 0
78000 5000
share-point 578 785
79956 1022411
0 0
9000 73000
teamviewer 183632 67397
14723246 6313201
0 0
65000 16000
orbix-cfg-ssl 567 0
745443 0
0 0
79000 0
instagram 10534 8840
2539453 5534044
0 0
19000 55000
aol-protocol 25815 37945
2097749 12979190
0 0
4000 62000
windows-store 2565 1932
447487 1953359
0 0
14000 43000
internet-audio-streaming 539 545
180318 517537
0 0
6000 36000
salesforce 324 604
50326 673833
0 0
3000 36000
steam 4821 842
368590 521545
0 0
18000 19000
sip 110 1604
42964 761339
0 0
0 36000
google-play 142866 0
46810443 0
3000 0
35000 0
secure-pop3 3804 4035
408126 476846
0 0
16000 18000
orbix-loc-ssl 163 0
232595 0
0 0
29000 0
ms-office-365 387 370
103466 348671
0 0
6000 22000
mgcp 715 552
60128 244084
0 0
3000 23000
yahoo-mail 717 735
90760 668116
0 0
2000 22000
blogger 2568 0
208678 0
0 0
22000 0
shoutcast 5692 0
345307 0
0 0
20000 0
winny 2 160
120 142161
0 0
0 17000
sip-tls 133 0
166811 0
0 0
16000 0
gtalk-voip 87 0
118756 0
0 0
16000 0
icmp 20414 53670
2736289 5854340
0 0
10000 4000
msn-messenger 2044 1685
513575 952310
0 0
3000 9000
xmpp-client 7965 9148
1032091 1536367
0 0
3000 8000
itunes-audio 1345 1478
458655 875705
0 0
5000 5000
google-accounts 13937 0
2481347 0
0 0
9000 0
pop3 283 562
26141 71959
0 0
3000 6000
msft-gc-ssl 66 0
82948 0
0 0
9000 0
qq-services 4028 1656
1153758 344160
0 0
5000 3000
baidu-movie 2506 532
813635 37327
0 0
7000 1000
spdy 421 519
82437 420697
0 0
3000 5000
ftp 2276 28
148622 2362
0 0
8000 0
ping 53641 4413
4390317 384829
0 0
4000 3000
android-updates 108 82
27944 52837
0 0
3000 3000
ncp 164 0
35880 0
0 0
6000 0
aliwangwang 868 61
341366 27272
0 0
3000 2000
encrypted-bittorrent 40 61
7770 21484
0 0
2000 3000
icq 32 23
7630 15851
0 0
1000 3000
dht 13 10879
2420 2347341
0 0
0 3000
google-plus 1180 0
200646 0
0 0
3000 0
consumer-cloud-storage 68 43
15655 7423
0 0
2000 1000
aol-messenger 0 16
0 7967
0 0
0 3000
isakmp 0 106
0 39992
0 0
0 2000
ntp 12509 21745
1175846 2044030
0 0
0 1000
ospf 0 3059
0 379110
0 0
0 1000
netbios-ns 885 608
84960 58368
0 0
0 1000
ipsec 24816 0
3031344 0
0 0
0 0
viber 714 596
52064 64548
0 0
0 0
discard 633 0
53172 0
0 0
0 0
snmp 1 54
79 5402
0 0
0 0
picasa 22 0
5040 0
0 0
0 0
ldap 0 45
0 4374
0 0
0 0
naver-line 35 4
2766 400
0 0
0 0
sunrpc 1 24
70 2156
0 0
0 0
teamsound 0 12
0 1967
0 0
0 0
kakao-talk 12 7
1077 844
0 0
0 0
tftp 1 23
60 1380
0 0
0 0
nmsp 7 0
938 0
0 0
0 0
ripng 7 0
938 0
0 0
0 0
networking-gnutella 6 5
503 357
0 0
0 0
espn-browsing 4 0
644 0
0 0
0 0
netnews 2 2
268 268
0 0
0 0
radmin-port 0 1
0 487
0 0
0 0
irc 0 6
0 443
0 0
0 0
kerberos 1 3
70 327
0 0
0 0
pcanywhere 0 8
0 384
0 0
0 0
rtsp 1 3
70 232
0 0
0 0
lotus-notes 0 3
0 270
0 0
0 0
ms-wbt 0 3
0 221
0 0
0 0
http-alt 1 1
70 122
0 0
0 0
vnc 0 1
0 100
0 0
0 0
unknown 18459175 27892945
3722081522 29124366605
293000 5127000
4713000 26829000
Total 146008347 123329158
118388051340 105588101463
16314000 17490000
70428000 192384000
Либо можно посмотреть например TOP-10 протоколов:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
ROUTER-01#$ protocol-discovery interface gigabitEthernet 0/1.88 top-n 10
GigabitEthernet0/1.88
Last clearing of "show ip nbar protocol-discovery" counters 23:02:49
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
1min Bit Rate (bps) 1min Bit Rate (bps)
1min Max Bit Rate (bps) 1min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
http 56995261 27646729
62916286782 13018559200
6563000 2061000
22821000 19041000
ssl 40610905 37993163
36998399737 36281083074
4612000 4267000
9836000 25116000
binary-over-http 7544223 6736765
4515070578 7271496474
525000 1297000
2025000 18769000
secure-http 2852323 6251224
486577165 8373537400
13000 462000
607000 14964000
audio-over-http 774808 619538
53876448 850059844
20000 0
243000 11654000
youtube 1375553 2698147
127321871 3858518984
72000 1551000
299000 11436000
bittorrent-networking 734719 638840
596291692 175325361
0 0
1992000 7722000
apple-services 588828 571078
264902436 650116554
1000 11000
3498000 4115000
facebook 823425 1283759
75379418 1746010991
24000 646000
301000 7061000
apple-app-store 99989 168631
7365516 242398676
0 0
125000 7036000
unknown 18534952 27971322
3732289841 29209203415
256000 1421000
4713000 26829000
Total 146598738 123813380
118808389893 106012754411
12426000 11895000
71871000 192384000Теперь создадим class-map и policy-map для блокировки torrent-трафика для подсети 192.168.10.0/24, и применим service-policy на интерфейс:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
!
!
ip access-list extended ACL-P2P-LAN
permit ip 192.168.10.0 0.0.0.255 any
permit ip any 192.168.10.0 0.0.0.255
deny ip any any
!
!
class-map match-any P2P
description P2P-Networks
match protocol bittorrent
match protocol bittorrent-networking
match protocol encrypted-bittorrent
match protocol dht
!
!
class-map match-all P2P-LAN
match access-group name ACL-P2P-LAN
match class-map P2P
!
!
policy-map PMAP-LAN
class P2P-LAN
drop
!
!
!
interface GigabitEthernet0/1.88
description LAN
encapsulation dot1Q 88
ip address 192.168.1.1 255.255.255.0
ip nbar protocol-discovery
ip nat inside
no cdp enable
service-policy input PMAP-LAN
!
!При помощи команды match protocol в контексте class-map, автоматически включается функционал NBAR, внезависимости от использования интерфейсной к-ды ip nbar protocol-discovery.
Теперь можем посмотреть результат блокировки трафика:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
ROUTER-01#sh policy-map interface gigabitEthernet 0/1.88
GigabitEthernet0/1.88
Service-policy input: PMAP-LAN
Class-map: P2P-LAN (match-all)
121149 packets, 28421340 bytes
1 minute offered rate 18000 bps, drop rate 18000 bps
Match: class-map match-any P2P
Match: protocol bittorrent
0 packets, 0 bytes
1 minute rate 0 bps
Match: protocol bittorrent-networking
0 packets, 0 bytes
1 minute rate 0 bps
Match: protocol encrypted-bittorrent
0 packets, 0 bytes
1 minute rate 0 bps
Match: protocol dht
0 packets, 0 bytes
1 minute rate 0 bps
Match: access-group name ACL-P2P-LAN
drop
Class-map: class-default (match-any)
34954970 packets, 24781549323 bytes
1 minute offered rate 16633000 bps, drop rate 0000 bps
Match: any
К сожалению, при создании сложных class-map, просматривая sh policy-map, счетчики не изменяются по конкретным протоколам, изменяется лишь общий счётчик блокированных пакетов. Но если например оставить только class-map P2P и создать policy-map, включая только этот класс, то мы можем увидеть, как изменяется счётчик блокировки по протоколам.
Last edit: 1 год 10 мес. назад by PNV.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Блокировка P2P/Торрент (*.torrents, DHT) трафика с помощью Cisco NBAR