NBAR

yanghoo

NBAR(Network-Based Application Recognition，基于網(wǎng)絡(luò)的應(yīng)用識(shí)別)是一種流量分類引擎，能夠通過數(shù)據(jù)包本身的描述識(shí)別該數(shù)據(jù)屬于何種應(yīng)用服務(wù)。在CISCO IOS的12.0（5）XE2引入了該特性。通常NBAR會(huì)用于輔助CISCO IOS的QOS（服務(wù)質(zhì)量），由NBAR將通過路由器的流量進(jìn)行流量分類，CISCO IOS根據(jù)分類結(jié)果對(duì)不同類別的流量實(shí)施QOS特性。 NBAR能夠動(dòng)態(tài)的尋找并分類通過路由器的四到七層流量中的協(xié)議，可以識(shí)別動(dòng)態(tài)分配TCP和UDP端口號(hào)的有狀態(tài)應(yīng)用（如P2P類文件共享程序），可以識(shí)別常用的TCP和UDP協(xié)議的端口號(hào)及其他類型的三層協(xié)議、包含在應(yīng)用層數(shù)據(jù)里的命令等。NBAR還可以用于識(shí)別攻擊流量，并在確認(rèn)流量為惡意流量之后，進(jìn)行丟棄。
通過和數(shù)據(jù)包描述語言模塊(PDLM)配合，NBAR可以擁有更加強(qiáng)大的功能。PDLM是已經(jīng)定義好的用于增強(qiáng)NBAR網(wǎng)絡(luò)協(xié)議分析和應(yīng)用的識(shí)別能力的模塊，在CISCO官方網(wǎng)站上提供了很多已經(jīng)定義好的PDLM，可以使用CCO號(hào)登陸CISCO網(wǎng)站進(jìn)行下載。通過加載PDLM可以增強(qiáng)NBAR的能力，而不需要重裝CISCO IOS軟件。下載到需要的PDLM模塊文件后，可以使用TFTP方式COPY模塊到路由器的FLASH中，然后使用ip nbar pdlm [模塊名] 命令進(jìn)行加載。PDLM還允許管理員自定義協(xié)議和端口號(hào)對(duì)特定的流量進(jìn)行審查。
使用NBAR功能，首先要在路由器啟動(dòng)CISCO快速轉(zhuǎn)發(fā)功能，然后根據(jù)需要審查的流量使用class-map建立審查分組（類）, 可以具體的定義需要審查何種應(yīng)用類型，數(shù)據(jù)包長(zhǎng)度，連接地址等。完成了流量分類，就可以通過定義policy-map來指定各種流量對(duì)應(yīng)的安全規(guī)則，比如對(duì)于攻擊流量進(jìn)行丟棄，使用帶寬管制對(duì)可疑流量進(jìn)行帶寬限制。最后需要在接口下啟用流量策略。
NBAR也有很多缺陷，例如不支持HOST或MINE的匹配類型，不支持非IP流量，不支持組播或其他非CEF的交換模式，不支持被分片的數(shù)據(jù)包等。NBAR特性不被邏輯接口支持，包括快速以太網(wǎng)信道、TRUNK接口、交換虛接口等。
NBAR配置實(shí)例：使用NBAR阻止TELNET流量。


R1的基本配置：Router(config)#hostname R1R1(config)#interface s0/0R1(config-if)#ip address 10.0.0.1 255.255.255.0R1(config-if)#no shutdown R1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
R2的基本配置：Router(config)#hostname R2R2(config)#interface s0/1R2(config-if)#ip address 10.0.0.2 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
配置TELNET登錄密碼：R1(config)#line vty 0 15R1(config-line)#password ciscoR1(config-line)#login R1(config-line)#exit
定義審查類R1(config)#class-map telnetR1(config-cmap)#match protocol telnet  匹配所有的telnet流量R1(config-cmap)#exit
定義行為R1(config)#policy-map telnetR1(config-pmap)#class telnetR1(config-pmap-c)#drop 定義行為為丟棄R1(config-pmap-c)#exitR1(config-pmap)#exit
作用在接口下：R1(config)#interface s0/0             R1(config-if)#service-policy input telnetR1(config-if)#exit
測(cè)試：R2#telnet 10.0.0.1Trying 10.0.0.1 ... % Connection timed out; remote host not responding
               
               
               
               

本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u2/79955/showart_1974404.html