چگونه در روترهای سیسکو URL Filtering راه اندازی کنیم؟ در قسمت قبلی مقاله با URL Filtering و مفاهیم آن آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریو را به صورت عملی پیاده سازی می کنیم تا با مفاهیم آن بیشتر آشنا شویم :
با توجه به شکل زیر ، می خواهیم PC نتواند سایت های tosinso.com و msn.com را باز کند ولی بتواند تمام سایت های دیگر را باز کند.
در ابتدا به اینترفیس ها IP اختصاص می دهیم و NAT را روی روتر فعال می کنیم و از یک Static Route برای ارسال ترافیک به سمت اینترنت استفاده می کنیم :
Router(config)#interface FastEthernet0/0 Router(config-if)#description to LAN Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#interface FastEthernet0/1 Router(config-if)#description to internet Router(config-if)#ip address 5.5.5.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#ip nat pool home 5.5.5.1 5.5.5.1 prefix-length 24 Router(config)#ip nat inside source list 1 pool home overload Router(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 0/1
در حال حاضر PC به تمام سایت های دسترسی دارد. مرحله بعدی اجرای Zone Based layer 34 firewall است که قبلا توضیح داده شده است برای آشنایی با عملکرد آن پیشنهاد می شود که آن مبحث را مطالعه فرمائید. دستورات اجرای Zone Based layer 34 firewall به صورت زیر است :
Router(config)#class-map type inspect match-any httpc Router(config-cmap)#match protocol http Router(config)#class-map type inspect match-any dnsc Router(config-cmap)#match protocol icmp Router(config-cmap)#match protocol dns Router(config-cmap)#match protocol https Router(config)#policy-map type inspect in-out Router(config-pmap)#class type inspect httpc Router(config-pmap-c)#inspect Router(config-pmap)#class type inspect dnsc Router(config-pmap-c)#inspect Router(config-pmap)#class class-default Router(config-pmap-c)#drop Router(config)#zone security inside Router(config)#zone security outside Router(config)#zone-pair security inside-outside source inside destination outside Router(config-sec-zone-pair)#service-policy type inspect in-out Router(config)#interface FastEthernet0/0 Router(config-if)#zone-member security inside Router(config)#interface FastEthernet0/1 Router(config-if)#zone-member security outside
حالا باید تنظیمات مربوط به URL Filtering را انجام دهیم : در ابتدا URL Filter Policy Parameter map را تعریف می کنیم و در آنرا Alert را فعال می کنیم و پیغام Access Denied را جهت نمایش به کاربر تعیین می کنیم :
Router(config)#parameter-map type urlfpolicy local lupm Router(config-profile)#alert on Router(config-profile)#block-page message “Access Denied”
سپس URL Filter – GLOB Parameter map را تعریف می کنیم و در آن چند الگو برای سایت های tosinso.com و msn.com تعریف کنیم :
Router(config)#parameter-map type urlf-glob http-w Router(config-profile)#pattern tosinso.com Router(config-profile)#pattern msn.com Router(config-profile)#pattern *msn.com
بعد یک URL Filter – GLOB Parameter map دیگر تعریف می کنیم و در آن یک الگو تعریف می کنیم که با تمام سایت ها مطابقت پیدا کند :
Router(config)#parameter-map type urlf-glob all Router(config-profile)#pattern *
حالا یک Class map تعریف می کنیم که ترافیک را با parameter map که با نام http-w در بالا تعریف کردیم مقایسه کند :
Router(config)#class-map type urlfilter match-any ucm Router(config-cmap)#match server-domain urlf-glob http-w
یک Class map دیگر هم تعریف می کنیم که ترافیک را با parameter map که با نام all در بالا تعریف کردیم مقایسه کند :
Router(config)#class-map type urlfilter match-any ucm2 Router(config-cmap)#match server-domain urlf-glob all
سپس یک Policy map تعریف می کنیم و در آن واکنشی که نسبت به دو Class map که در بالا تعریف کردیم را مشخص می کنیم و همچنین URL Filter Policy Parameter map را به آن اختصاص می دهیم :
Router(config)#policy-map type inspect urlfilter upm Router(config-pmap)#parameter type urlfpolicy local lupm Router(config-pmap)#class type urlfilter ucm Router(config-pmap-c)#log Router(config-pmap-c)#reset Router(config-pmap)#class type urlfilter ucm2 Router(config-pmap-c)#log Router(config-pmap-c)#allow
آخرین مرحله فعال کردن URL Filtering است در اینجا Policy map که برای URL Filtering با نام upm تعریف کردیم را به Policy map مربوط به Zone Based layer 3/4 firewall که با نام in-out تعریف کرده ایم اختصاص می دهیم :
Router(config)#policy-map type inspect in-out Router(config-pmap)#class type inspect httpc Router(config-pmap-c)#inspect Router(config-pmap-c)#service-policy urlfilter upm
تنظیمات کامل شده است و از این لحظه همانطور که در تصویر می بینید امکان دسترسی به سایت های ذکر شده وجود ندارد.
امیدوارم که این مقاله مفید واقع شده باشد. موفق ، پیروز و توسینسو باشید.اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.