思科认证:使用Cisco命令阻止访问特定网站 - R3 ^& [% F: }$ {) C% g
步骤1:配置一个DNS服务器7 A; T( [9 _" N8 ~$ d
假设我们打算屏蔽一个名为www.badsite.com的网站。我们并不知道该网站的具体IP地址,而且我们也不想知道。没问题——Cisco IOS 会自己 把地址找出来并填上它。+ l7 m6 X% C* S0 c' q
要做到这一点,我们需要至少在路由器上配置一台DNS服务器。若想配置一台DNS服务器,应使用ip name-server命令。下面是个例子:
: _% ^" H& P" v4 H, y' ^0 dRouter(config)# ip name-server 1.1.1.1 2.2.2.2
& K1 J* V8 @+ z4 A; X本例中,我们配置了一个主DNS服务器1.1.1.1,以及一个备用DNS服务器2.2.2.2,以便路由器对域名进行解析。这不会影响路由器的任何流量 。当我们需要对某个域名进行Ping服务时,路由器将使用这些DNS服务器。以下是具体示例:4 _) @9 w4 d( u; J/ T% R
Router# ping www.techrepublic.com" s8 H3 d1 S/ K$ m7 O. W- j
Translating “www.techrepublic.com”。..domain server (1.1.1.1) [OK]
+ `/ ]$ [; Y' o+ \Type escape sequence to abort.) w; o5 c s3 o' i3 C2 Y
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
3 X0 A$ x$ U: L) h0 {: w!!!!!
! t1 J& P. l( x* u! SSuccess rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms! M6 [6 T- j$ B( y* [
Router#
2 H( L# X- s$ b: u3 Q3 }在上述例子中,路由器使用了我们指定的域名服务器地址(1.1.1.1)来尝试解析域名。它成功的将域名www.techrepublic.com解析为对应的IP ——216.239.113.101。( g b/ {- k& {2 Z* w
如果我们不曾指定DNS服务器,那么路由器很可能会返回下述这些反馈:
* f0 z8 @8 n6 g+ D% _Translating “www.techrepublic.com”。..domain server (255.255.255.255)
# O# r+ Y9 t; ^$ y7 q. O9 A' S% Unrecognized host or address, or protocol not running.
1 l4 W, s% b. p* m- i, L(不认识的主机或地址,或可能协议未运行)! a2 _( a# \3 W T6 ~
步骤2:建立ACL: o" N$ R1 L! F$ E8 B9 I- O
想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称ACL)来具体定义我们想阻止什么。下面是个例子:
* k: O) G* R9 g6 H& DRouter(config)# access-list 101 deny tcp any host www.badsite.com eq www
( k, \3 g7 r! T0 ~: E( gTranslating “www.badsite.com”。..domain server (1.1.1.1) [OK] X1 s2 i9 v, `) p0 o. C& W
Router(config)# access-list 101 permit tcp any any eq www
& }9 w. a9 o0 @# F7 R4 ]) O8 r. [! to allow all other web traffic
( g# H7 W' z) W7 E: H; b+ b$ J这个ACL拒绝了所有对特定网站www.badsite.com的访问。在阻止访问该网站的同时,它允许所有人访问其他任意网站。
8 W; Z# K' l* {/ p; ^1 ?; ] i最后,由于ACL的隐含禁止,除WWW外所有的其他通信将全部被禁止。, n* M! l' _. o0 J5 C
如果您想知道到底是哪些IP地址在试图访问被阻止的网站,可以通过使用LOG关键字,记录相关信息。下面是个例子。
- a4 O+ e* T, K0 V% Z3 G1 J bRouter(config)# access-list 101 deny tcp any host www.badsite.com eq www log
; r2 J) E/ R# ` h6 G6 _ W步骤3:避免“遗漏”
* G' c+ D" T; j/ i有一点需要注意。在我们输入了上述ACL的第一行之后,留意路由器是如何使用DNS服务器来解析域名的。然后它会用解析域名所得的IP地址替 换掉ACL中的主机名。我们来仔细看看配置:
M9 q7 b, @. x Z# j7 WRouter# sh run | inc access-list 101
: ]3 c1 W5 m% m9 O- Z Y2 ]access-list 101 deny tcp any host 66.116.109.62 eq www8 M- d/ x- _. L
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该IP仅仅是DNS服务器响应的第一个IP。如果这是个大型网站,有多台服务器(比如一个搜索引擎),而ACL却仅仅包含了DNS首先响应的第一个IP——您将不得不手工屏蔽其余的IP地址。下面是个示例:5 }9 |' ^% C7 B5 ?8 F$ Y7 u1 J
C:\》 nslookup www.google.com4 H$ r* l5 ], b2 S% B
Server: DNSSERVER
5 v& o0 c, B* W1 A4 }Address: 1.1.1.1% J+ V5 W r4 F
Non-authoritative answer:
* b& w' N- B. ^Name: www.l.google.com' i/ |8 T: H0 L0 G* x# l7 w9 N
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99& c$ N2 `6 s. v
Aliases: www.google.com
6 f/ ?: {% A6 q! p其次,如果被禁止的网页服务器更改了IP地址,ACL中的地址并不会跟随变化。您必须对ACL进行人为更新。, w' q$ w: g. J
步骤4:实施ACL
m2 `/ O6 u* b( e仅仅创建了ACL并不意味着路由器就用上了它——我们还必须对ACL进行实施。下面,假设我们要建立一个ACL,以阻止内部局域网访问外部的广 域网(比如Internet)。因此我们应当用ACL的源地址过滤,而不是目标地址的过滤。6 K; L& J( b% _4 C; O6 s; n4 a
同样,基于设计的目的,我们需要在路由器的Out方向实施这个ACL。下面是示例。) t: Q4 L( T) W i
Router(config)# int serial 0/0
L/ z) _% u3 k3 `4 \0 GRouter(config-if)# ip access-group 101 out |
发表于 2012-8-3 20:03:30
