这可能与路由无关，而与内容过滤有关。

有多个级别可以尝试阻止某些内容：

• 在路由层：您的过滤设备需要知道 Youtube 正在使用哪些 IP 地址，并使用（可能是动态更新的）IP 地址列表或要列入黑名单的范围。过滤设备可能能够具有“访问列表”，该“访问列表”具有作为目的地地址的FQDN对象而不是IP地址（或其范围）。

• 在 DNS 层：过滤设备可能会窥探“*.youtube.com”（以及 youtu.be 及其所有变体）的 DNS 查询并阻止查询发出，或者它可能会假响应答案。这不一定是路由器，经过调整的本地 DNS 服务器也可以做到这一点。例如，请参阅https://pi-hole.net

• 上层协议（HTTP）：过滤设备需要看到客户端发送的 HTTP GET 或 HOST 头请求，并可以根据其中找到的 FQDN 进行过滤。这可能是您的 NBAR 配置片段试图做的，但很可能不会有任何影响，因为：见下文。

• 在上层协议（HTTPS/TLS）：现在 Youtube 都是 HTTPS。要在应用层阻止它，您需要一种可以窥探 SSL/TLS 协商的检查机制，并从客户端的 SSL 请求中提取 SNI（服务器名称指示）和/或从服务器的证书中提取服务器证书的 CN（CommonName） SSL 响应，并根据其中找到的信息识别“youtube”。除非正在使用最新的 TLS，否则这些字段在加密建立之前以明文形式发送，并且可供过滤设备访问。

在 IOS-XE 上，也可能在其他 IOS 上，您可以尝试使用SSL 自定义应用程序 （有关一些示例，请参阅https://www.cisco.com/c/en/us/td/docs/ios-xml/ ios/qos_nbar/configuration/xe-3s/qos-nbar-xe-3s-book/nbar-ssl-custom-appl-xe.html#GUID-31C35EC0-26B2-44F1-A348-75C18011BB7A）

ip nbar custom name ssl unique-name  www.example.com id  11

您还可以使用 NBAR 查看 DNS：

ip nbar custom cust1 dns dns-name *example.com id 1

另请参阅https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/configuration/15-mt/qos-nbar-15-mt-book/nbar-custapp- dns.html和 https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/configuration/15-mt/qos-nbar-15-mt-book/nbar- cust-protcl.html

...然后您将在您的类映射中使用该自定义应用程序，就像您已经做过的那样。

您可以在 Cisco 路由器上使用 NBAR。有关详细信息，请参阅 Cisco 文档，例如QoS：NBAR 配置指南。

要匹配 YouTube 上的浏览​​，您可以创建一个类：

class-map match-all YouTube
 match protocol http hostname *youtube.com

要匹配 YouTube 视频，您需要使用不同的类：

class-map match-all youtube
 match protocol youtube

你也可以为任何一个创建一个类（注意我们使用match-any而不是match-all为任何一个匹配）：

class-map match-any YouTube
 match protocol http hostname *youtube.com
 match protocol youtube

然后你可以有一个策略来删除YouTube课堂上的任何东西

policy-map No_YouTube
 class YouTube
  drop
!