如何阻止cisco路由器上的youtube url

Question

我如何在思科路由器上阻止youtube？我已经使用了如下所示的类地图

class-map match-any url-block-class
 match protocol http host "*youtube*"
!
policy-map block-class
policy-map url-block-policy
 class url-block-class

好心的人帮忙

Answer 1

这可能不是关于路由，而是关于内容过滤。

有多个级别，您可以尝试阻止某些内容：

• 在路由层:您的过滤设备需要知道Youtube正在使用哪些IP地址，并使用一个(可能是动态更新的) IP地址或范围列表以被列入黑名单。过滤设备可以具有一个“访问列表”，该“访问列表”具有一个FQDN对象作为目标地址，而不是一个IP地址(或其范围)。
• 在DNS层:过滤设备可能窥探DNS对"*.youtube.com“(和youtu.be及其所有变体)的查询，并阻止查询外出，或者它可能伪造一个答案。这不一定是路由器，调优的本地DNS服务器也可以做到这一点。有关示例，请参见https://pi-hole.net
• 在上层协议( HTTP )：过滤设备需要查看客户端发送的HTTP或主机标头请求，并可以根据在其中找到的FQDN进行筛选。这可能是您的NBAR配置片段试图做的，但很可能不会有任何效果，因为:参见下面。
• 在上层协议( HTTPS /TLS)：Youtube现在都是HTTPS。要在应用层阻止它，您需要一种检查机制，它可以窥探SSL/TLS协商，并从客户端的SSL请求和/或服务器证书的CN (CommonName)从服务器的SSL响应中提取SNI (服务器名称指示)，并根据在其中找到的信息识别"youtube“。除非使用最近的TLS，否则这些字段在建立加密之前以明文发送，并可由过滤设备访问。

在IOSs上，可能也在其他IOSs上，您可以尝试使用SSL自定义应用程序(有关一些示例，请参阅https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/configuration/xe-3s/qos-nbar-xe-3s-book/nbar-ssl-custom-appl-xe.html#GUID-31C35EC0-26B2-44F1-A348-75C18011BB7A)

ip nbar custom name ssl unique-name  www.example.com id  11

还可以使用NBAR查看DNS：

ip nbar custom cust1 dns dns-name *example.com id 1

还请参阅https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/configuration/15-mt/qos-nbar-15-mt-book/nbar-custapp-dns.html和https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/configuration/15-mt/qos-nbar-15-mt-book/nbar-cust-protcl.html

..。然后在类映射中使用自定义应用程序，就像您已经使用过的那样。

Answer 2

您可以在思科路由器上使用NBAR。有关更多信息，请参见思科文档(如QoS: NBAR配置指南 )。

要匹配YouTube上的浏览，您可以创建一个类：

class-map match-all YouTube
 match protocol http hostname *youtube.com

要匹配YouTube视频，您将有一个不同的类：

class-map match-all youtube
 match protocol youtube

您也可以为其中任何一个创建一个类(请注意，我们使用match-any而不是match-all来获得任何一个的匹配)：

class-map match-any YouTube
 match protocol http hostname *youtube.com
 match protocol youtube

然后，您可以有一个策略来删除YouTube类中的任何内容。

policy-map No_YouTube
 class YouTube
  drop
!