巧用Cisco命令阻访相关网站

作者:课课家更新于： 2019-02-27 20:11:40

　　有时候为了网络的安全和防止员工上班时间浏览和工作不相干的网站，我们就需要通过相关的设置命令来阻止对相关网站的访问。那么到底如何通过设置命令来阻止访问相关网站的操作呢？在本文中课课家笔者就里用Cisco命令阻访相关网站为例给大家介绍介绍，从而解答大家对此的疑惑。

　　①配置一个DNS服务器

　　如果我们要想巧用Cisco命令阻访相关网站，那么首先第一步我们至少要在路由器上配置一台DNS服务器并使用ip name-server命令。下面笔者给大家举个例子：

　　Router(config)# ip name-server 1.1.1.1 2.2.2.2

　　在上述命令中笔者配置了一个主DNS服务器1.1.1.1以及一个备用DNS服务器2.2.2.2来方便路由器对域名进行解析，需要注意的是这并不会影响路由器的任何流量。当我们需要对某个域名进行Ping服务时，路由器将使用这些DNS服务器。

　　Router# ping www.XXX.com

　　Translating "www.XXX.com"...domain server (1.1.1.1) [OK]

　　Type escape sequence to abort.

　　Sending 5,100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:

　　!!!!!

　　Success rate is 100 percent (5/5),round-trip min/avg/max = 1/1/4 ms

　　Router#

　　在上述的例子中路由器使用了笔者指定的域名服务器地址（1.1.1.1）来尝试解析域名，它成功的将域名www.XXX.com解析为对应的IP——216.239.113.101。但是如果我们不曾指定DNS服务器，那么路由器就很有可能会返回下述这些反馈：

　　Translating "www.XXX.com"...domain server (255.255.255.255)

　　% Unrecognized host or address,or PRotocol not running.

　　（不熟悉的主机或地址或可能协议未运行）

　　②建立ACL

　　如果我们想真正阻止访问某个网站就必须建立一个存取控制列表（Access control list，简称ACL）来具体定义我们想阻止什么。下面笔者同样给大家举个例子：

　　Router(config)# access-list 101 deny tcp any host www.XXX.com eq www

　　Translating "www.XXX.com"...domain server (1.1.1.1) [OK]

　　Router(config)# access-list 101 permit tcp any any eq www

　　! to allow all other web traffic

　　上述ACL拒绝了所有对特定网站www.XXX.com的访问。另外在阻止访问该网站的同时它答应所有人访问其他任意网站。由于ACL的隐含禁止，所以除WWW外所有的其他通信将全部被禁止。如果我们想知道到底是哪些IP地址在试图访问被阻止的网站，我们可以通过使用LOG要害字来记录相关信息，下面是具体的例子：

　　Router(config)# access-list 101 deny tcp any host www.XXX.com eq www log

　　③避免“疏漏”

　　在我们输入了上述ACL的第一行之后就要注意路由器是如何使用DNS服务器来解析域名的。它会用解析域名所得的IP地址替换掉ACL中的主机名。下面大家来看看具体配置：

　　Router# sh run inc access-list 101

　　access-list 101 deny tcp any host 66.116.109.62 eq www

　　虽然说这是个很好的功能，但是可能由于几个原因导致出现问题。首先这个IP仅仅是DNS服务器响应的第一个IP，如果这是个大型网站有多台服务器，而ACL却仅仅包含了DNS首先响应的第一个IP，我们就不得不手工屏蔽其余的IP地址。下面是具体的示例：

　　C:\\> nslookup www.XXX.com

　　Server: DNSSERVER

　　Address: 1.1.1.1

　　Non-authoritative answer:

　　Name:www.l.XXX.com

　　Addresses:64.233.167.104,64.233.167.147,64.233.167.99

　　Aliases:www.XXX.com

　　其次如果被禁止的网页服务器更改了IP地址，ACL中的地址并不会跟随变化，那么我们就必须对ACL进行人为更新。

　　④实施ACL

　　如果我们仅仅创建了ACL事实上并不意味着路由器就用上了它，我们还必须对ACL进行实施。比如我们要建立一个ACL以阻止内部局域网访问外部的广域网，此时我们应当用ACL的源地址过滤而不是目标地址的过滤。同样基于设计的目的，我们需要在路由器的Out方向实施这个ACL。下面是具体的示例：

　　Router(config)# int serial 0/0

　　Router(config-if)# ip access-group 101 out

　　以上就是巧用Cisco命令阻访相关网站的方法介绍，希望能够帮助到大家。另外如果大家觉得笔者的文章中有不足的地方时笔者欢迎大家对本文章中出现的讲解提出自己的个人建议，对出现错误的地方提出批评，笔者会诚心接纳大家的建议和批评，并根据大家提出的建议和批评作出相应的修改工作。