Trong cấu hình tôi gửi đã lược bớt một số phần nên có vẻ không hoàn chỉnh. Đúng như bạn nói, cấu hình nbar trong interface là chưa đủ. phải cấu hình thêm các class map để nhận dạng protocol class.

ip accounting và netflow là công nghệ riêng, tôi dùng ip accounting để có thể xem các ip traffic khi telnet vào router. (netflow phải dùng chương trình collector riêng).

Tôi sử dụng secondary address ở interface nối vào firewall vì tôi sử dụng cache engine tại đó, không có ý nghĩa gì về security ở đây.

Re: NBAR: giai phap de chan Nimda virus? block cac sexy web site?

nbar cung cấp một khả năng phân loại traffic dựa vào url, port....

hạn chế của nbar là không áp dụng cho non-ip traffic.

Xem thêm tài liệu đính kèm.

Chúc vui vẻ,

Phân loại dùng NBAR

Đối với các gói tin khó phân loại, kỹ thuật nhận dạng ứng dụng lớp mạng NBAR có thể được dùng. Ví dụ, một vài ứng dụng dùng các port động, vì vậy một câu lệnh cấu hình match đơn thuần so sánh một cổng UDP hay TCP sẽ không có khả năng phân loại được lưu lượng. NBAR sẽ xem các UDP và TCP header, xem tên máy, URL hoặc các kiểu yêu cầu HTTP request. Kiểu kiểm tra này còn được gọi là kiểm tra sâu bên trong gói tin (deep packet inspection).

NBAR cũng có thể xem các header TCP và UDP để nhận ra các thông tin liên quan đến ứng dụng. Ví dụ, NBAR cho phép nhận ra các ứng dụng Citrix và cho phép tìm kiếm một phần của chuỗi URL. NBAR cũng có thể được dùng để đếm các loại lưu lượng và tải của từng loại. Đối với QoS, NBAR có thể được dùng bởi CB Marking để lựa ra những loại gói tin phức tạp. Bất cứ khi nào câu lệnh MQC match protocol được dùng, IOS sẽ dùng NBAR để lựa ra gói tin. Bảng dưới đây liệt kê vài lệnh phổ biến và NBAR.

Ví dụ: Các lưu lượng RTP Audio và video: RTP dùng các port chẵn từ 16,384 đến 32,768. Các cổng lẻ được dùng bởi RCTP để kiểm soát cuộc gọi. NBAR có thể lựa ra những cổng chẳn để tách dữ liệu voice ra khỏi các dữ liệu điều khiển cuộc gọi.
Các ứng dụng Citrix: NBAR có thể phân loại các ứng dụng Citrix khác nhau
Tên máy, URL và MIME: NBAR cũng có thể lựa ra các URL, bao gồm tên máy, MIME type. Thường dùng thêm biểu thức chính qui
Các ứng dụng chia sẽ file ngang hàng NBAR có thể tìm các ứng dụng như Kazaa, Morpheus, Grokster, Gnutella.

Dưới đây là một ví dụ cấu hình NBAR, và các IOS version hỗ trợ cơ chế nhận dạng lưu lượng này.

NBAR Network-Based Application Recognition

CB marking có thể dùng khả năng phân loại mạnh của NBAR thông qua lệnh match protocol. Dưới đây là một cấu hình cho đánh dấu và NBAR trong đó có các yêu cầu sau được thoả mãn:
- Bất kỳ một web traffic nào có URL chứa chuỗi “important” sẽ được gán giá trị AF21.
- Bất kỳ web traffic nào có URL chứa chuỗi “not-so” sẽ được gán giá trị DSCP mặc định.
- Tất cả những traffic còn lại được gán giá trị AF11.
Ip cef
Class-map http-impo
Match protocol http url “*important*”
!
Class-map http-not
Match protocol http url “*not-so*”
!
Policy-map http
Class http-impo
Set dscp AF21
!
class http-not
set dscp default
!
class class-default
set dscp AF11
!
interface FastEthernet0/0
ip nbar protocol-discovery
service-policy input http
!Bắt đầu từ IOS 12.2T/12.3, lệnh ip nbar protocol-discovery là cần thiết trên một cổng trước khi dùng lệnh service-policy. Với phiên bản 12.2T/12.3 T Train, lệnh này không còn cần thiết. Việc sử dụng lệnh match protocol ngầm định rằng NBAR sẽ được dùng để tìm ra gói tin.

Không giống như các đặc điểm IOS khác, bạn có thể nâng cấp NBAR mà không dùng phiên bản IOS mới. Cisco dùng một đặc tính gọi là các module ngôn ngữ mô tả gói tin Packet Description Language Modules (PDLMs) để định nghĩa những giao thức mới mà NBAR phải so sánh. Khi Cisco quyết định thêm vào một hoặc nhiều giao thức vào danh sách những giao thức mà NBAR phải nhận diện, nó sẽ tạo và biên dịch một PDLM. bạn có thể download các phiên bản PDLM từ Cisco, chép nó vào flash và thêm vào dòng ip nbar pdlm pdlm-name trong cấu hình, trong đó pdlm là tên của file pdlm nằm trong bộ nhớ flash của router. NBAR sau đó có khả năng phân loại dựa trên thông tin từ PDLM mới.

Thông tin rất bổ ích. Sao không thấy ai bàn về vấn đề này nhỉ???

NBAR dùng với protocol HTTP với các tham số url, host, mine, ... là một vấn đề khá đau đầu với các chuyên gia. Các bạn có thể tham khảo và trao đổi thêm tại: www.groupstudy.com với các chuyên gia công nghệ hàng đầu thế giới.

Thân ái,
KaKaLot_