有台Cisco 2600,平时般用作互联网服务器。现在希望可以屏蔽某些特定网站,该怎么做呢?2 ?% b: F$ ` C% }" X' ?
这不是个困难任务——只要您知道Cisco IOS如何工作的。这里将指导您进行这项工作,并告诉您使这种方式应当注意些什么 。" J- [5 O$ D' j3 Y+ H H7 U
步骤1:配置个DNS服务器5 C% q+ n7 z( _1 ~, j( |) ?/ A
假设我们打算屏蔽个名www.badsite.com网站。我们并不知道该网站具体IP地址,而且们也不想知道。没问题——Cisco IOS自己把地址找出并填上它。
! _5 w& A/ q0 l# k% A% o! B/ T% s要做到这点,们需至少在路由器上配置一台DNS服务器。若想配置一台DNS服务器,应使ip name-server命令。下面个例子:( q! S7 L/ M6 s
Router(config)# ip name-server 1.1.1.1 2.2.2.2) V7 U1 _' y7 p! m H9 `5 V
本例中,我们配置一个主DNS服务器1.1.1.1,以及个备DNS服务器2.2.2.2,以便路由器对域名进行解析。这不会影响路由器任何流量 。当我们需对某个域名进行Ping服务时,路由器将使用这些DNS服务器。以下是具体示例:
5 T$ k4 }0 m c) Z4 i) \Router# ping www.techrepublic.com
# y/ n/ k, ?# yTranslating "www.techrepublic.com"...do main server (1.1.1.1) [OK], W5 j2 v) e' F: g$ m1 z* d
Type escape sequence to abort.
# D' J0 |& H. D. vSending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
# b0 O) z8 M/ G: |0 Z!!!!!
/ _% }' [; J% t7 }Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms+ C( j9 X: ~2 o1 z3 Z9 f
Router#
& x. i, `! ?+ D, ~( G8 D, `4 j在上述例子中,路由器使用了我们指定的域名服务器地址(1.1.1.1)来尝试解析域名。它成功的将域名www.techrepublic.com解析为对应IP ——216.239.113.101。
9 L8 z8 n' K5 n2 q4 r如果我们不曾指定DNS服务器,那么路由器很可能返回下述这些反馈:5 ^& ?4 c# \1 D/ o
Translating "www.techrepublic.com"...do main server (255.255.255.255)4 H" j# G4 r# H! ]5 }$ Z' g
% Unrecognized host or address, or protocol not running.' V- @0 e- f% Z+ h3 ~
(不认识主机或地址,或可能协议未运行)
- |2 L; O" B0 w5 Z' O& ]2 [步骤2:建立ACL8 ?, `/ S" P, F2 h5 s
想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称ACL)来具体定义们想阻止什么。下面举个例子:
6 ~! _6 ?; k: I C; J, yRouter(config)# access-list 101 deny tcp any hostwww.badsite.com eq www0 M9 k* C0 K0 R0 e
Translating "www.badsite.com"...do main server (1.1.1.1) [OK]
. {6 t3 B" X0 I: `Router(config)# access-list 101 permit tcp any any eq www6 ]% O! ~3 _. I9 j* b3 C7 R
! to allow all other web traffic1 V3 K& c# h8 O4 ~0 L
这个ACL拒绝了所有对特定网站www.badsite.com访问。在阻止访问该网站同时,它允许所有人访问其他任意网站。$ A( Z3 N2 l+ c4 {. ]
最后,由于ACL的隐含禁止,除WWW外所有其通信将全部被禁止。
. P1 d8 H: }. I如果您想知道到底哪些IP地址试图访问被阻止的网站,可以通过使LOG关键字,记录相关信息。下面是一个例子。# f2 E4 X9 x/ n# K% U9 J
Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log
5 z" @; l# {" C% Y6 G1 x+ A步骤3:避免“遗漏”
7 t7 X4 r/ m; L/ g% L' c有一点需注意。们输入述ACL第一行后,留意路由器是如何使用DNS服务器来解析域名。然后它会用解析域名所得的IP地址替换掉ACL主机名。我们仔细看看配置:: ~! n- x; I: t4 a( q5 U
Router# sh run | inc access-list 101
/ @, i8 F& ?) `. m$ paccess-list 101 deny tcp any host 66.116.109.62 eq www: }* }" o* _$ s8 E$ h
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该IP仅仅是DNS服务器响应的第一个IP。如果这个大型网站,有多台服务器 (比如一个搜索引擎),而ACL却仅仅包含了DNS首先响应第一个IP——您不得不手工屏蔽其余IP地址。下面是一个示例:
) ]. Z7 q) |! s( S3 dC:> nslookup www.google.com
3 r8 I, R. r8 F/ B- b& [7 j5 I" PServer: DNSSERVER
/ F4 T! @2 F @3 S9 t% V1 \1 Q9 y( hAddress: 1.1.1.14 s, w) a, Z8 T3 T
Non-authoritative answer:
: [6 D/ c0 _) }- p; AName: www.l.google.com; m$ F' o1 i7 w0 P
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99
3 Y! [8 z# {- k, N6 N n: L' eAliases: www.google.com! r! W7 T, N& b% N' I" q: `
其次,如果被禁止的网页服务器更改了IP地址,ACL中的地址并不会跟随变化。您必须对ACL进行人工更新。4 j; f4 ~+ _/ G0 Z
步骤4:实施ACL8 f2 F( }7 l3 w; E" _
仅仅创建了ACL并不意味着路由器就用上了它——我们还必须ACL进行实施。下面,假设我们建立一个ACL,以阻止内部局域网访问外部广域网(比如Internet)。因此我们应当用ACL的源地址过滤,而不是目标地址的过滤。8 s' M! g3 A% E) k
同样,基于设计的目的,我们需要路由器的Out方向实施这个ACL。下面是一个示例:$ J1 |9 S! F7 R# ?
Router(config)# int serial 0/0
( N7 r7 v* _9 [0 z! R+ E* n1 IRouter(config-if)# ip access-group 101 out
2 `; H( x. C) t1 j, Q' \6 u好,大功告成! |
发表于 2012-8-3 20:03:30
