Blocare torrent pe un router Cisco
Multi administratori cand aud despre cuvinte ca blocare se gandesc automat la firewallul classic,permisii si deny-uri in functie de port-uri,
ip-uri sursa si ip-uri destinatie.
Problema in ziua de astazi e ca multe aplicatii nu folosesc porturi statice,cum sunt torrentii si alte aplicatii care folosesc orice port deschis,deci acl-urile nu au cum sa blocheze acest trafic.
Putina lume stie cum sa blocheze acest trafic si mai putina lume stie cum sa limiteze banda.
Cisco vine cu o solutie extraordinara,respectiv inspectarea traficului la layer 7.(practic se uita in pachete si vede ce tip de trafic este.)
Acest protocol se numeste NBAR (Network Based Application Recognition)
Primul lucru ca sa inspectam traficul pornim NBAR,consuma ceva resurse dar nu semnificante (nu va speriati in productie daca sesiunea ingheatza 1-2 secunde,eu de fiecare data ma sperii cand pornesc prima data NBAR)
ROUTERCISCO(config)#interface fastEthernet 4 #interfata de WAN
ROUTERCISCO(config-if)#ip nbar protocol-discovery #activam NBAR pe aceea interfata
Verificam cu
ROUTERCISCO#sh ip nbar protocol-discovery
Ca sa afisam un top al protocoalelor personal folosesc
ROUTERCISCO#sh ip nbar protocol-discovery stats bit-rate top-n 10
In acest moment avem inspectie de trafic la layer 7.Problema insa ramane,vedem protocoalele care in mod normal nu au ce cauta in infrastructura dar nu sunt blocate.
Partea de blocare se face in felul urmator.
Definim un class-map
ROUTERCISCO(config)#class-map match-any torrent
ROUTERCISCO(config-cmap)#match protocol bittorrent
E o discutie lunga cu “match-any si match-all” si va sfatuiesc daca doriti sa aprofundati subiectul sa va uitati pe internet.Pe scurt,intr-un class map se pot spefica acl-uri,protocoale,etc dar este mult prea mult in a include in acest post tot ce se poate face cu un class-map.
Cream un policy-map
ROUTERCISCO(config)#policy-map notorrent #puteti da ce nume vreti la policymap
ROUTERCISCO(config-pmap)#class torrent #torrent reprezinta numele clasei definite la pasul anterior
ROUTERCISCO(config-pmap-c)#drop #drop reprezinta actiunea,nu va sfiiti sa dati ? pentru ca sunt o gramada de alte actiuni
In acest moment am definit clasa,policy map-ul dar totusi lipseste ceva.Trebuie sa aplicam pe interfata dorita policy-map-ul.
In cazul nostru interfata de WAN pe directia IN datorita faptului ca dorim ca traficul sa NU intre
ROUTERCISCO(config)#interface fastEthernet 4 #interfata WAN
ROUTERCISCO(config-if)#service-policy input notorrent # directia input policy-map-ul cu numele notorrent
Se verifica utilizand comanda
ROUTERCISCO#show policy-map interface fastEthernet 4 #deja vedem cum traficul este taiat