2911: блокировка доступа к сайтам

@Yarsen · Регистрация: 13.11.2013

Студворк — интернет-сервис помощи студентам

Добрый день.
Хочу попросить совета, как ограничить доступ пользователям к соцсетям?
Попытался сделать по этой статье: http://blog.ine.com/tag/url/ - не получается.
Через ACL так же не смог закрыть доступ т.к. у контакта море адресов.

Подскажите пожалуиста, в какую сторону копать, бьюсь третий день с проблемой.
Заранее спасибо.

@jlevistk · 13.11.2013, 12:42

Вот все про NBAR с сайта Cisco, вот [CENSORED] на русском.

Если не разберетесь, то приложите нам конфиг и мы поможем его поправить.

Помимо NBAR можно пользоваться сторонними сервисами, но в основном они платные.

Добавлено через 1 минуту
Вот , кстати, тема с инфой по фильтрации ))

@Yarsen · 14.11.2013, 07:53 **[ТС]**

Большое спасибо за помощь!
Проблему решил, все отлично работает)

@jlevistk · 14.11.2013, 10:02

Сообщение от Yarsen

Большое спасибо за помощь!
Проблему решил, все отлично работает)

Обращайтесь)

Jabbson · 14.11.2013, 11:43

Не по теме:

решили проблему, выкладывайте решение, это помогает другим ищущим

@Yarsen · 14.11.2013, 11:53 **[ТС]**

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
conf t 
 
int vlan20
 ip nbar protocol-discovery
 
class-map match-any cm-blocked-content
 match protocol http host "*vk*"
 match protocol http host "*vkontakte*"
 match protocol http host "*odnoklassniki*"
         
policy-map pm-blocked-content
 class cm-blocked-content
  drop
 
int vlan 20
 service-policy input pm-blocked-content

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
sh policy-map interface vlan 20
 
 Vlan20 
 
  Service-policy input: pm-blocked-content
 
    Class-map: cm-blocked-content (match-any)
      1377 packets, 717499 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: protocol http host "*vk*"
        1334 packets, 703209 bytes
        5 minute rate 0 bps
      Match: protocol http host "*vkontakte*"
        0 packets, 0 bytes
        5 minute rate 0 bps
      Match: protocol http host "*odnoklassniki*"
        43 packets, 14290 bytes
        5 minute rate 0 bps
      drop
 
    Class-map: class-default (match-any)
      222539 packets, 36362562 bytes
      5 minute offered rate 2000 bps, drop rate 0 bps
      Match: any

@VevS · 14.11.2013, 17:36

Сообщение от Yarsen

int vlan 20
*service-policy input pm-blocked-content

тут мы привязываем к интерфейсу данный "список" а кто нибудь скажет как отвязывается?
И ещё к теме "открепления от интерфейса" скажите пожалуйста как отвязать ACL от Интерфейса ? =) заранее благодарю.

@MonaxGT · 14.11.2013, 21:11

тут мы привязываем к интерфейсу данный "список" а кто нибудь скажет как отвязывается?
И ещё к теме "открепления от интерфейса" скажите пожалуйста как отвязать ACL от Интерфейса ? =) заранее благодарю.

попробуйте данную команду с префиксом no

Только no, должно быть в подрежиме.
Например: У вас прописан ip address на интерфейсе. Вы заходите на интерфейс interface fa 0/0 и пишите no ip add
Такой алгоритм везде.

@VevS · 15.11.2013, 08:47

Сообщение от MonaxGT

попробуйте данную команду с префиксом no
Только no, должно быть в подрежиме.
Например: У вас прописан ip address на интерфейсе. Вы заходите на интерфейс interface fa 0/0 и пишите no ip add
Такой алгоритм везде.

тут это не работает =) поэтому и спрашиваю , может быть кто знает?

@Yarsen · 15.11.2013, 09:06 **[ТС]**

Все прекрасно отвязывается.

529-2911-up-1(config)#int vlan 20
529-2911-up-1(config-if)#no service-policy input pm-blocked-content

@VevS · 15.11.2013, 09:50

Сообщение от Yarsen

sh policy-map interface vlan 20

после этой команды всё равно пишет что он висит на интерфейсе. Может не обновилось ещё - незнаю. А как вообще удалить эту политику ? чтобы в конфиге не отображалась совсем?

@Yarsen · 15.11.2013, 10:13 **[ТС]**

Все через "no"
Сначала отвязываешь от интерфеиса, потом:

no class-map match-any cm-blocked-content

no policy-map pm-blocked-content

и все, в конфиге ее не увидишь

@Yarsen · 18.11.2013, 15:30 **[ТС]**

А можно как-нибудь повесить баннер, который бы отображался в окне браузера при попытках доступа на запрещенный ресурс?

Jabbson · 18.11.2013, 15:38

параметр block-page message в parameter-map

Сообщение от jlevistk

Вот , кстати, тема с инфой по фильтрации ))

если присмотреться - это там есть!

@Yarsen · 18.11.2013, 16:32 **[ТС]**

Да вот пробовал, не получается:

316-2911-up-1(config)#parameter-map type ?
waas WAAS Parameter Map

и все...

Jabbson · 18.11.2013, 17:15

лицензия какая?

@Yarsen · 18.11.2013, 17:30 **[ТС]**

Прошу прощения за глупый вопрос, а где глянуть?)
sh vers ?

Jabbson · 18.11.2013, 17:40

show lic (udi|all|feature)?

@Yarsen · 19.11.2013, 07:34 **[ТС]**

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
1099-2911-up-1#sh license udi
Device#   PID                   SN              UDI
-----------------------------------------------------------------------------
*0        CISCO2911/K9          JTV1621T0XT     CISCO2911/K9:JTV1621T0XT
 
 
1099-2911-up-1#sh license feature 
Feature name             Enforcement  Evaluation  Subscription   Enabled  RightToUse 
ipbasek9                            no           no          no             yes      no         
securityk9_npe                   yes          yes         no             no       yes        
uck9                                 yes          yes         no             no       yes        
datak9                              yes          yes         no             yes      yes        
gatekeeper                         yes          yes         no             no       yes        
ios-ips-update                    yes          yes         yes            no       yes        
SNASw                              yes          yes         no             no       yes        
cme-srst                            yes          yes         no             no       yes        
WAAS_Express                    yes          yes         no             no       yes        
UCVideo                             yes          yes         no             no       yes

Jabbson · 19.11.2013, 11:13

у Вас Security License не включена.
можно еще вывод sh license all

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16

	2911: блокировка доступа к сайтам 13.11.2013, 10:03. Показов 17203. Ответов 50 Метки нет (Все метки) Добрый день. Хочу попросить совета, как ограничить доступ пользователям к соцсетям? Попытался сделать по этой статье: http://blog.ine.com/tag/url/ - не получается. Через ACL так же не смог закрыть доступ т.к. у контакта море адресов. Подскажите пожалуиста, в какую сторону копать, бьюсь третий день с проблемой. Заранее спасибо. 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	13.11.2013, 12:42
	Вот все про NBAR с сайта Cisco, вот [CENSORED] на русском. Если не разберетесь, то приложите нам конфиг и мы поможем его поправить. Помимо NBAR можно пользоваться сторонними сервисами, но в основном они платные. Добавлено через 1 минуту Вот , кстати, тема с инфой по фильтрации )) 1

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	14.11.2013, 07:53 [ТС]
	Большое спасибо за помощь! Проблему решил, все отлично работает) 0

Jabbson
	14.11.2013, 11:43
	Не по теме: решили проблему, выкладывайте решение, это помогает другим ищущим 0

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	15.11.2013, 09:06 [ТС]
	Все прекрасно отвязывается. 529-2911-up-1(config)#int vlan 20 529-2911-up-1(config-if)#no service-policy input pm-blocked-content 0

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	15.11.2013, 10:13 [ТС]
	Все через "no" Сначала отвязываешь от интерфеиса, потом: no class-map match-any cm-blocked-content no policy-map pm-blocked-content и все, в конфиге ее не увидишь 0

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	18.11.2013, 15:30 [ТС]
	А можно как-нибудь повесить баннер, который бы отображался в окне браузера при попытках доступа на запрещенный ресурс? 0

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	18.11.2013, 16:32 [ТС]
	Да вот пробовал, не получается: 316-2911-up-1(config)#parameter-map type ? waas WAAS Parameter Map и все... 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	18.11.2013, 17:15
	лицензия какая? 0

@Yarsen 0 / 0 / 0 Регистрация: 13.11.2013 Сообщений: 16
	18.11.2013, 17:30 [ТС]
	Прошу прощения за глупый вопрос, а где глянуть?) sh vers ? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	18.11.2013, 17:40
	show lic (udi\|all\|feature)? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	19.11.2013, 11:13
	у Вас Security License не включена. можно еще вывод sh license all 0