Network Based Application Recognition (NBAR) 網絡應用程序識別

一.什麼是NBAR?

基於網絡的應用程序識別(NBAR)可以對使用動態分配TCP/UDP端口號的應用程序和HTTP流量等進行分類.

 

NBAR 是一種動態能在四到七層尋找協議的技術，它不但能做到普通ACL能做到那樣控制靜態的、簡單的網絡應用協議TCP/UDP 的端口號。例如我們熟知的 WEB 應用使用的 TCP 80，也能做到控制一般 ACLs 不能做到動態的端口的那些協議，例如 VoIP 使用的 H.323, SIP 等。在使用NBAR的時候要先啓用CEF特性。而且可以使用數據包描述語言模塊(PDLM)從路由器的閃存里加載,用於在不使用新的Cisco IOS軟件,或重啓路由器的情況下對新的協議或應用程序進行識別.

二.NBAR的限制

NBAR不能在以下幾種邏輯接口上使用:

1.快速以太網信道.

2.使用了隧道或加密技術的接口.

3.SVI.

4.撥號接口.

5.多鏈路PPP(MLP).

NBAR的一些限制:

1.不支持多於24個的併發URL,HOST或MINE的匹配類型.

2.不支持超過400字節的URL匹配.

3.不支持非IP流量.

4.不支持組播或其他非CEF的交換模式.

5.不支持被分片的數據包.

6.不支持源自或去往運行NBAR的路由器的IP流量.

三.如何配置NBAR?

配置NBAR的基本步驟:

1.啓用CEF特性:

Aiko(config)#ip cef

2.把流量分類,定義class map:

Aiko(config)#class-map [match-all|match-any] {map-name}
Aiko(config-cmap)#match protocol {protocol}

3.設置policy map，選擇調用的class-map，以及規則動作:

Aiko(config)#policy-map {policy-name}
Aiko(config-pmap)#class {class-map}
Aiko(config-pmap-c)#{action}

4.把策略應用在接口上:

Aiko(config-if)#service-policy {input|output} {policy-map}

四、檢驗NBAR配置

1、查看流量分類信息： nimokaka#show class-map [map-name]

2、查看policy map： nimokaka#show policy-map [policy-name]

3、查看接口的policy map 信息： nimokaka#show policy-map interface [interface]

4、顯示NBAR所使用的PDLM： nimokaka#show ip nbar pdlm

5、顯示NBAR使用的協議到端口號的映射信息：nimokaka#show ip nbar port-map

 

五、NBAR控制BT和eDonkey

1、 加載bittorrent.pdlm 到路由器閃存裏

nimokaka(config)#ip nbar pdlm flash://bittorrent.pdlm

2、定義class map,識別BitTorrent程序流量,並將進站的BitTorrent程序流量丟棄

ip cef

!

class-map kaka

match protocol bittorrent

!

policy-map drop-bittorrent

class kaka

drop

!

interface Serial0

ip address 192.168.0.1 255.255.255.0

service-policy input drop-bittorrent

六、NBAR病毒防治

使用NBAR來防止紅色代碼(Code-Red)和尼姆達(Nimda)蠕蟲病毒，配置如下

ip cef

!

class-map match-all DENY-ATTACK

match protocol http url "*.ida*"

match protocol http url "*cmd.exe*"

match protocol http url "*root.exe*"

match protocol http url "*readme.eml*"

!

policy-map nimokaka class DENY-ATTACK drop

interface Serial0

ip address 10.0.0.1 255.255.255.252

service-policy input nimokaka