Sanatate

Blocare torrent pe un router Cisco

Multi administratori cand aud despre cuvinte ca blocare se gandesc automat la firewallul classic,permisii si deny-uri in functie de port-uri,

ip-uri sursa si ip-uri destinatie.

Problema in ziua de astazi e ca multe aplicatii nu folosesc porturi statice,cum sunt torrentii si alte aplicatii care folosesc orice port deschis,deci  acl-urile nu au cum sa blocheze acest trafic.

Putina lume stie cum sa blocheze acest trafic si mai putina lume stie cum sa limiteze banda.

Cisco vine cu o solutie extraordinara,respectiv inspectarea traficului la layer 7.(practic se uita in pachete si vede ce tip de trafic este.)

Acest protocol se numeste NBAR (Network Based Application Recognition)

Primul lucru ca sa inspectam traficul pornim NBAR,consuma ceva resurse dar nu semnificante (nu va speriati in productie daca sesiunea ingheatza 1-2 secunde,eu de fiecare data ma sperii cand pornesc prima data NBAR)

ROUTERCISCO(config)#interface fastEthernet 4   #interfata de WAN

ROUTERCISCO(config-if)#ip nbar protocol-discovery #activam NBAR pe aceea interfata

Verificam cu

ROUTERCISCO#sh ip nbar protocol-discovery

Ca sa afisam un top al protocoalelor personal folosesc

ROUTERCISCO#sh ip nbar protocol-discovery stats bit-rate top-n 10

In acest moment avem inspectie de trafic la layer 7.Problema insa ramane,vedem protocoalele care in mod normal nu au ce cauta in infrastructura dar nu sunt blocate.

Partea de blocare se face in felul urmator.

Definim un class-map

ROUTERCISCO(config)#class-map match-any torrent

ROUTERCISCO(config-cmap)#match protocol bittorrent

E o discutie lunga cu “match-any si match-all” si va sfatuiesc daca doriti sa aprofundati subiectul sa va uitati pe internet.Pe scurt,intr-un class map se pot spefica acl-uri,protocoale,etc dar este mult prea mult in a include in acest post tot ce se poate face cu un class-map.

Cream un policy-map

ROUTERCISCO(config)#policy-map notorrent #puteti da ce nume vreti la policymap

ROUTERCISCO(config-pmap)#class torrent      #torrent reprezinta numele clasei definite la pasul anterior

ROUTERCISCO(config-pmap-c)#drop                   #drop reprezinta actiunea,nu va sfiiti sa dati ? pentru ca sunt o gramada de alte actiuni

In acest moment am definit clasa,policy map-ul dar totusi lipseste ceva.Trebuie sa aplicam pe interfata dorita policy-map-ul.

In cazul nostru interfata de WAN pe directia IN datorita faptului ca dorim ca traficul sa NU intre

ROUTERCISCO(config)#interface fastEthernet 4   #interfata WAN

ROUTERCISCO(config-if)#service-policy input notorrent # directia input policy-map-ul cu numele notorrent

Se verifica utilizand comanda

ROUTERCISCO#show policy-map interface fastEthernet 4 #deja vedem cum traficul este taiat

Lasă un răspuns

Adresa ta de email nu va fi publicată.