Estoy intentando bloquear Skype mediante enrutamiento de políticas pero no funciona... aquí está mi configuración:
class-map match-any block
match protocol skype
policy-map QoS-Priority-Input
class block
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
policy-map QoS-Priority-Output
class block
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
interface FastEthernet4
description WAN
service-policy input QoS-Priority-Input
service-policy output QoS-Priority-Output
Respuesta1
match protocol skypesólo coincidirá con el protocolo Skype v1.
La v2 del protocolo es muy buena para encontrar formas de sortear cualquier bloqueo; por ejemplo, simplemente usará HTTPS si es necesario.
Aquí hay una muy buena descripción de cómo bloquearlo obligándolo a usar HTTPS y luego usando DPI para inspeccionar y bloquear el tráfico HTTPS de Skype.
Respuesta2
Si Skype se comporta como muchos protocolos P2P, probablemente sea mejor que le asignes la menor asignación de ancho de banda posible en lugar de bloquearlo por completo. Ante un bloque completo suelen negociar nuevos puertos, pero ante un canal muy estrangulado se quedan en él.