вторник, 12 июля 2011 г.

Фильтрация трафика по URL на HP MSR для разных групп пользователей

В ряде случаев возникает задача запрета некоторых сайтов для локальной сети предприятия. В общем случае задача решается установкой proxy-сервера и все пользователи LAN выходят в интернет используя proxy, что в целом создает ряд неудобств, в том числе в необходимости прописывать адрес proxy в настройках браузера на клиентской машине. В случае, если список запрещенных сайтов небольшой и в целом пользователей LAN не очень много, можно обойтись функционалом DAR и QoS доступном на любом маршрутизаторе MSR.

Будем считать, что NAT уже настроен на роутере, интернет подключен к интерфейсу Ethetnet0/0, локальная сеть 192.168.10.0 /24 уже выходит в интернет через этот роутер. По условиям гипотетической задачи адресам с 192.168.10.1 по 192.168.10.127 нельзя ходить на сайт www.yandex.ru, а адресам с 192.168.10.128 по 192.168.10.254 нельзя ходить на сайт www.mail.ru. Для этого опишем эти группы адресов в разных ACL:
system-view

acl number 2002
 rule 0 permit source 192.168.10.0 0.0.0.127
acl number 2003
 rule 0 permit source 192.168.10.128 0.0.0.127

# Определим классификаторы трафика и условия в нем (с исполнением по AND то есть если выполняется оба условия):
traffic classifier yandex1 operator and
 if-match acl 2002
 if-match protocol http host www.yandex.ru
#
traffic classifier mail1 operator and
 if-match protocol http host www.mail.ru
 if-match acl 2003

#Опишем что с этим трафиком делать:
traffic behavior behaviorforfilter
 filter deny
#
#Опишем QoS policy, содержащее оба наших классификатора:
qos policy PolicyLimitOut
 classifier mail1 behavior behaviorforfilter
 classifier yandex1 behavior behaviorforfilter

#Применим эту policy к внешнему интерфейсу и включим на нем функцию DAR:
interface Ethernet0/0
 dar enable
 qos apply policy PolicyLimitOut outbound


Комментариев нет:

Отправить комментарий