Блокировка P2P/Торрент (*.torrents, DHT) трафика с помощью Cisco NBAR

Больше
8 мес. 2 нед. назад - 8 мес. 2 нед. назад #252 от PNV
PNV создал эту тему: Блокировка P2P/Торрент (*.torrents, DHT) трафика с помощью Cisco NBAR
В продожение темы " Как заблокировать P2P/Торрент (*.torrents, трекеры, DHT/PEX)" , опишу другой способ блокировки P2P-трафика (на примере torrent-трафика) с помощью технологии Cisco NBAR (Network-Based Application Recognition).

Cisco NBAR появилась в IOS начиная с версии 12.0(5)XE2. При помощи NBAR, маршрутизатор способен различить большое количество различных протоколов/приложений на всех уровнях модели OSI, включая 7й уровень (например Skype, bittorent, exchange, facebook и др.). Данные NBAR, можно применить например для анализа трафика по протоколам и по SNMP отправлять на сервер мониторинга, для создания классов обслуживания (QoS), а также для создания политик доступа, при этом нет необходимости настраивать никаких сложных правил анализа заголовков пакетов при помощи различных regex-выражений, NBAR осуществляет весь анализ трафика самостоятельно и раскладывает по полочкам (т.е. по протоколам и приложениями :)).
Использование данных NBAR осуществляется через функционал MQC (Modular QoS Command Line Interface), используя class-map, policy-map и service-policy.

Перейдем к практике. В примере будет использоваться маршрутизатор Cisco 3945 c IOS 15.4(3)M5. Включим NBAR для возможности просмотра типов трафика на интерфейсе (можно посмотреть какие протоколы и приложения проходят ч/з интерфейс, кол-во байт, пакетов по каждому протоколу, а также ТОП-10 тиреТОП-50 анализируемых протоколов), и заблокируем torrent-трафик для определённых внутрикорпоративных подсетей.

Включим анализатор трафика NBAR на интерфейсе, для возможности дальнейшего просмотра типов трафика, проходящих ч/з данный интерфейс. Данная к-да необязательна для настройки блокировки каких-либо типов трафика.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


После включения NBAR на интерфейсе, можно сразу же посмотреть какой трафик ч/з него проходит:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


Либо можно посмотреть например TOP-10 протоколов:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


Теперь создадим class-map и policy-map для блокировки torrent-трафика для подсети 192.168.10.0/24, и применим service-policy на интерфейс:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

При помощи команды match protocol в контексте class-map, автоматически включается функционал NBAR, внезависимости от использования интерфейсной к-ды ip nbar protocol-discovery.

Теперь можем посмотреть результат блокировки трафика:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


К сожалению, при создании сложных class-map, просматривая sh policy-map, счетчики не изменяются по конкретным протоколам, изменяется лишь общий счётчик блокированных пакетов. Но если например оставить только class-map P2P и создать policy-map, включая только этот класс, то мы можем увидеть, как изменяется счётчик блокировки по протоколам.
Последнее редактирование: 8 мес. 2 нед. назад от PNV.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум