NBARポリシー適用のために特定のIPまたはMACアドレスをどのように指定しますか？

オフィス環境で、Cisco ISRルーターを使用してYouTubeをブロックしたい場合は、NBARで次のように設定します。

class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

これはグローバル構成ですが、特定のワークステーション（IPまたはMACアドレスを介して）にのみ適用されるように調整するにはどうすればよいですか？

（ACLを使用して）ブロックするすべての送信元IPネットワークに一致する2番目の一致条件をクラスマップに作成できます。このACLと一致しないソースIPからのyoutube.comへのリクエストはドロップされません。

重要なのは、クラスマップの「すべて一致」または「すべて一致」の部分です。どちらの方法でもクラスマップを設定できます。

class-map {match-any | match-all} *class-map name*

「match-all」クラスマップを実行する場合、トラフィックが一致するには、すべての一致条件がtrueである必要があります。Jeremyが述べたように、特定のユーザーと一致するACLを作成し、必要なことを行うACLを作成します。

ip access-list extended acl-block-users
permit ip 10.25.25.0 0.0.0.255 any
!
class-map match-all YOUTUBE
 match protocol http host "*youtube.com*"
 match access-group name acl-block-users
!
policy-map DROP_YOUTUBE
 class YOUTUBE
   drop
!
interface FastEthernet0/0
 description TO INTERNET
 service-policy output DROP_YOUTUBE

シスコスイッチファームウェアをアップグレードして、IP nbarのプロトコルを更新する

sslではなくhttpプロトコルにのみ一致するため、YouTube.com専用のプロトコルがすでに用意されており、両方ともgoogle.comに使用されているため、YouTubeにsslプロトコルを使用することはできません。ブロックすると、Googleもブロックされます。

class-map match-any youtube-site
  match protocol YouTube
!
policy-map block-youtube
  class youtube-site
   drop
!
int Gig0/N
 service-policy output block-youtube
!

コマンドはデバイスのバージョンと異なることに注意してください

もうルーターでyoutube.comをブロックできるとは思いません。YouTube.comはHTTPSを介して実行されるため、ルーターがパケットを検査できなくなります。あなたの最善の策は、youtube.comのDNSリクエストをブロックして、実際のYouTubeサーバーに到達できないようにすることです。