UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE INGENIERÍA

ESCUELA ELECTRÓNICA Y TELECOMUNICACIONES

REDES AVANZADAS

TEMA

APPLICATION RECOGNITION (NBAR)

PROFESOR

Ing. Marco Nolivos

ESTUDIANTES:

Henry Aynaguano

Ángel Vinueza

Semestre:

Noveno

06 de Febrero del 2018

INTRODUCCIÓN

Network-Based Application Recorgnition (NBAR) es un feature incluido en Cisco IOS a partir

de su versión 12.0, que agrega habilidades de clasificación de tráfico a la insfraestructura de la
red.

Es un motor de clasificación de tráfico que reconoce una amplia variedad de aplicaciones,

incluyendo aquellas que utilizan asignación dinámica de puertos TCP o UDP. Esto permite aplicar
servicios específicos a las aplicaciones que se reconocen. Es como tener un analizador de tráfico
incorporado en nuestra imagen de Cisco IOS. De esta manera nuestos dispositivos ya no sólo
pueden operar sobre información de los encabezados de capa 3 y 4, sino que ahora pueden
extender su poder de análisis hasta capa 7.

A partir de IOS 12.3, las habilidades de clasificación de tráfico de NBAR merced a la posibilidad
de utilizar PDLM (Packet Description Language Module) para extender estas prestaciones. Cisco
regularmente lanza nuevos módulos PDLM para nuevas aplicaciones.

MARCO TEÓRICO

¿Cómo se utiliza NBAR?

NBAR ha sido diseñado como una aplicación para el reconocimiento de tráfico en la red con el
propósito de implementar QoS, sin embargo, es posible darle un sinnúmero de aplicaciones
adicionale con el propósito de controlar el tráfico con objetivos de seguridad o solamente remover
el tráfico indeseable en un determinado enlace.

En este sentido una de las prestaciones más interesantes de NBAR es la posibilidad de identificar
campos específicos en un paquete http, tales como una URL específica o ciertos clientes web.

En general, se puede utilizar NBAR para identificar cualquier tráfico decapa de aplicación para
el que NBAR tenga una definición en sus módulos.

El informe NBAR contiene la lista de las diferentes aplicaciones, junto con su tráfico y el
porcentaje de datos totales del tráfico. El período de tiempo durante el cual se pueden generar
estos informes varía de 15 minutos con el cuarto anterior. El período de tiempo también puede
ser especificado por el usuario. A partir de estos informes, las aplicaciones que utilizan el ancho
de banda máximo se pueden identificar.
El informe FNF NBAR contendrá los puertos de origen y destino IP, nombre de la aplicación, de
origen y destino, el protocolo y el tamaño de la aplicación. El origen y el destino de IP se pueden
resolver mediante DNS.

Estas aplicaciones si se determina que no son críticas se pueden marcar y bloquear. En caso de
que sean críticas se les puede dar la más alta prioridad por el administrador de la red.

Hay algunas limitaciones para la implementación de NBAR: No se puede aplicar en túneles o

interfaces encriptadas, tampoco puede operar con flujos de tráfico asimétricos o analizar tráfico
https. Para su operación requiere habilitar previamente CEF.

CEF (Cisco Express Forwarding) es un feature avanzado de Cisco IOS que permita un modo de
conmutación más rápido en los dispositivos Cisco.

CEF se encuentra deshabilitado por defecto en todos los dispositivos Cisco, excepto en los routers
de la serie 7xxx, 6500 y 12000. Los routers de las series 2600, 3600, 3800 incorporan este feature
a partir de Cisco IOS 12.2(11)T. Para habilitar este modo de conmutación se debe operar desde
el modo de configuración global:

Router#configure terminal

Router(config)#ip cef

Router(config)#_

Para deshabilitar esta función el proceso es igualmente simple:

Router(config)#no ip cef

Router(config)#_

¿Cómo se configura NBAR?

NBAR es simplemente una aplicación para identificación y marcado de tráfico. Para mostrar su
implementación desarrollaré un ejemplo en el que se utiliza NBAR para filtrar tráfico http a una
URL específica utilizando ACL, sin embargo, con las debidas variantes, este mismo
procedimiento se puede aplicar a partir del paso 5 para implementar otro tipo de políticas:

 Asegúrese de que en el dispositivo se encuentra habilitado CEF.

Router(config)#ip cef
Cree una clase para identificar el tráfico que se desea clasificar y marcas. En este caso y a fines
de ejemplo definiré una clase llamada "descarte" que clasifica toda URL de http que contenga un
programa nombrado "readme.exe".

Router(config)#class-map descarte

Router(config-cmap)#match protocol http url "*readme.exe*"

Los asteriscos indican que se desea detectar cualquier URL que contenga el texto "readme.exe"
sin importar lo que lo precede o siga.

 Genere una política marcar el tráfico que se ha clasificado en el paso anterior. Para esto lo
marcaremos con un valor de DSCP igual a 1:para

Router(config)#policy-map trafico_indeseable

Router(config-pmap)#class descarte

Router(config-pmap)#set ip dscp 1

 Configure NBAR de modo que inicie el proceso de descubrimiento de tráfico para todos los
protocolos conocidos en una interfaz en particular. En el caso del ejemplo, esta tarea se debe
realizar en la interfaz a través de la cual ingresa al dispositivo el tráfico que se desea clasificar
y marcar para luego filtrarlo.

Router(config)#interface serial 0/0/0

Router(config-if)#ip nbar protocol-discovery

Si se desea realizar una tarea semejante sobre tráfico que ingresa a través de otra interfaz, NBAR
deberá ser activado en esa interfaz.

 Ahora es necesario aplicar la política que hemos definido antes, a la interfaz en la que ingresa
el tráfico que se desea marcar.

Router(config-if)#service-policy input trafico_indeseable

De este modo se ha definido un procedimiento de monitoreo y marcación de tráfico indeseable.

Este tipo de tráfico será marcado con un valor de DSCP igual a 1. Ahora procederemos a filtrarlo
sobre el enlace que deseamos preservar, utilizando una ACL.
 Cree una lista de control de acceso que deniegue el tráfico marcado:

Router(config)#access-list 110 deny ip any any dscp 1

Router(config)#access-list 110 permit ip any any

 A continuación sólo resta aplicar esa lista de acceso a la interfaz elegida para filtrar el tráfico:

Router(config)#interface fastethernet 0/0

Router(config-if)#ip access-group 110 out

CONCLUSIONES

 NBAR es una potente herramienta de monitoreo de tráfico que ya viene instalada en nuestros
routers Cisco IOS desde la versión 12.0. Sólo es necesario familiarizarnos con ella y comenzar
a implementarla para aprovechar todo su potencial.
 Tengamos en cuenta que con procedimientos como este, al filtrado tradicional de ACLs
utilizando criterios de capa 3 y 4, podemos ahora agregar la posibilidad de filtrar tráfico en
función de información de capa 7.

REFERENCIAS

[1] http://www.ubiquitour.com/3OEPBdmZ/

[2] https://www.manageengine.com.mx/netflow/informes-cisco-nbar.html

[3]https://www.cisco.com/c/es_mx/support/docs/routers/7500-series-routers/27842-nbar-acl-
codered.html

[4] http://librosnetworking.blogspot.com/2007/12/introduciendo-el-uso-de-nbar.html,

[5]https://www.cisco.com/c/en/us/products/hw/tsd_products_support_end-of-sale_and_end-of-
life_products_list.html