class-map match-all YOUTUBE
match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
class YOUTUBE
drop
!
interface FastEthernet0/0
description TO INTERNET
service-policy output DROP_YOUTUBE
这是全局配置,但是如何调整它使其仅适用于某些工作站(通过IP或MAC地址)?
#1 楼
您可以在类映射中创建第二个匹配条件,以匹配要阻止的所有源IP网络(使用ACL)。与该ACL不匹配的源IP对youtube.com的任何请求都不会被丢弃。#2 楼
关键是类映射的“全部匹配”或“任何匹配”部分。您可以通过任何一种方式配置类映射。流量匹配。正如Jeremy所提到的,创建一个与特定用户匹配的ACL,然后进行匹配即可完成您想要的操作。class-map {match-any | match-all} *class-map name*
评论
好的电话在这里指出了“全部匹配”的重要性。我忽略了这一点。
–Jeremy Stretch
2013年6月6日19:37
如果条件是将某些IP与多个主机中的任何IP进行匹配,那么全部匹配在这里如何生效?我相信配置需要调整一下吗?这里的情况是阻止针对多种类型人员的多个网站。
–lamp_scaler
2013年6月7日在2:41
全部匹配是必须的,因为您要基于源主机和URL进行匹配。正如我在另一篇文章的评论中所说,如果要使用完全匹配,则必须为每个要阻止的URL构建一个类。
–巨石
2013年6月7日18:32
#3 楼
升级cisco交换机固件以更新ip nbar的协议已经有一个专用于YouTube.com的协议,因为它仅匹配http协议而不是ssl,并且您不能将ssl协议用于YouTube,因为都用于google.com,对其进行阻止会同时也会阻止Google
class-map match-any youtube-site
match protocol YouTube
!
policy-map block-youtube
class youtube-site
drop
!
int Gig0/N
service-policy output block-youtube
!
请注意,命令与设备版本不同
评论
感谢您准备自己编辑。此外,设备手册还提供了每个命令的所有详细答案。
– PauAI
18 Jun 8'在4:21
评论
大多数网络工程师都痴迷于细节-您必须在CLI和GUI中花大量时间-因此通常,您的匹配协议声明将是* .youtube.com而不是* youtube.com *,除非您也打算屏蔽像“ ihateyoutube.com”这样的网站(不确定该网站是否真实)。有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。