Фильтрация трафика по URL на HP MSR для разных групп пользователей

В ряде случаев возникает задача запрета некоторых сайтов для локальной сети предприятия. В общем случае задача решается установкой proxy-сервера и все пользователи LAN выходят в интернет используя proxy, что в целом создает ряд неудобств, в том числе в необходимости прописывать адрес proxy в настройках браузера на клиентской машине. В случае, если список запрещенных сайтов небольшой и в целом пользователей LAN не очень много, можно обойтись функционалом DAR и QoS доступном на любом маршрутизаторе MSR.

Будем считать, что NAT уже настроен на роутере, интернет подключен к интерфейсу Ethetnet0/0, локальная сеть 192.168.10.0 /24 уже выходит в интернет через этот роутер. По условиям гипотетической задачи адресам с 192.168.10.1 по 192.168.10.127 нельзя ходить на сайт www.yandex.ru, а адресам с 192.168.10.128 по 192.168.10.254 нельзя ходить на сайт www.mail.ru. Для этого опишем эти группы адресов в разных ACL:
system-view

acl number 2002
 rule 0 permit source 192.168.10.0 0.0.0.127
acl number 2003
 rule 0 permit source 192.168.10.128 0.0.0.127

# Определим классификаторы трафика и условия в нем (с исполнением по AND то есть если выполняется оба условия):

traffic classifier yandex1 operator and

 if-match acl 2002

 if-match protocol http host www.yandex.ru

#

traffic classifier mail1 operator and

 if-match protocol http host www.mail.ru

 if-match acl 2003

#Опишем что с этим трафиком делать:

traffic behavior behaviorforfilter

 filter deny

#

#Опишем QoS policy, содержащее оба наших классификатора:

qos policy PolicyLimitOut

 classifier mail1 behavior behaviorforfilter

 classifier yandex1 behavior behaviorforfilter

#Применим эту policy к внешнему интерфейсу и включим на нем функцию DAR:

interface Ethernet0/0

 dar enable

 qos apply policy PolicyLimitOut outbound