有台Cisco 2600,平时般用作互联网服务器。现在希望可以屏蔽某些特定网站,该怎么做呢?! q5 u& j9 s8 k0 W2 t
这不是个困难任务——只要您知道Cisco IOS如何工作的。这里将指导您进行这项工作,并告诉您使这种方式应当注意些什么 。
" }/ C- k r8 i' x7 Q步骤1:配置个DNS服务器. S& e9 W, q. @* [6 S# ]& g
假设我们打算屏蔽个名www.badsite.com网站。我们并不知道该网站具体IP地址,而且们也不想知道。没问题——Cisco IOS自己把地址找出并填上它。
' `0 s/ k; M+ z' K8 a1 m要做到这点,们需至少在路由器上配置一台DNS服务器。若想配置一台DNS服务器,应使ip name-server命令。下面个例子:) F/ r$ l/ T( G4 T/ h/ v3 [
Router(config)# ip name-server 1.1.1.1 2.2.2.2
& E" B( i s( k- K9 @本例中,我们配置一个主DNS服务器1.1.1.1,以及个备DNS服务器2.2.2.2,以便路由器对域名进行解析。这不会影响路由器任何流量 。当我们需对某个域名进行Ping服务时,路由器将使用这些DNS服务器。以下是具体示例:# L2 L5 _4 Q2 h
Router# ping www.techrepublic.com) D! D9 [ m4 s" ^+ ?) P
Translating "www.techrepublic.com"...do main server (1.1.1.1) [OK]
) H6 ~) M& v8 I6 n+ MType escape sequence to abort.* \- |6 U2 h$ M; i& }" |( l! y
Sending 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:
( ^ {9 u, _$ w!!!!!( e' K5 i. x* i e$ J
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
, c) m+ M# [" `- A6 VRouter#3 M0 k! T3 }* @) u( C2 [
在上述例子中,路由器使用了我们指定的域名服务器地址(1.1.1.1)来尝试解析域名。它成功的将域名www.techrepublic.com解析为对应IP ——216.239.113.101。2 Z) Q m) c4 w) N
如果我们不曾指定DNS服务器,那么路由器很可能返回下述这些反馈:! {9 S5 Y3 ]7 n7 e/ M5 a
Translating "www.techrepublic.com"...do main server (255.255.255.255)
0 H0 x' t" T" g9 {" Y5 h% Unrecognized host or address, or protocol not running.
1 h7 z3 e4 c& V; I) `- ^* R(不认识主机或地址,或可能协议未运行)- ?" Y5 R+ [0 T, ^
步骤2:建立ACL1 k8 M* s2 T2 g6 g+ G2 ~# k
想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称ACL)来具体定义们想阻止什么。下面举个例子:
6 f( ?4 t# I& E4 `Router(config)# access-list 101 deny tcp any hostwww.badsite.com eq www
3 B& q* ~9 a5 U3 H; }6 w- dTranslating "www.badsite.com"...do main server (1.1.1.1) [OK]
" F- e- L7 c6 }* A" g( ERouter(config)# access-list 101 permit tcp any any eq www/ e3 v8 Q1 e' Z# }
! to allow all other web traffic
* |( H! k; y: G3 }这个ACL拒绝了所有对特定网站www.badsite.com访问。在阻止访问该网站同时,它允许所有人访问其他任意网站。4 ]7 m# K2 l( B, q6 d
最后,由于ACL的隐含禁止,除WWW外所有其通信将全部被禁止。
6 I2 S( X: T1 s8 A% J2 A( x8 B1 k如果您想知道到底哪些IP地址试图访问被阻止的网站,可以通过使LOG关键字,记录相关信息。下面是一个例子。
. ^9 C+ r# h& E& N3 pRouter(config)# access-list 101 deny tcp any host www.badsite.com eq www log2 A3 M9 ^1 `5 F9 @5 m
步骤3:避免“遗漏”
0 x1 W% r9 B- N有一点需注意。们输入述ACL第一行后,留意路由器是如何使用DNS服务器来解析域名。然后它会用解析域名所得的IP地址替换掉ACL主机名。我们仔细看看配置:
$ o0 w% R" {6 A3 m9 aRouter# sh run | inc access-list 1017 U/ d% l |3 A- h( T7 k* s2 c% f
access-list 101 deny tcp any host 66.116.109.62 eq www; C& d5 W, o H, k
这是个很好的功能,但是可能由于几个原因导致出现问题。首先,该IP仅仅是DNS服务器响应的第一个IP。如果这个大型网站,有多台服务器 (比如一个搜索引擎),而ACL却仅仅包含了DNS首先响应第一个IP——您不得不手工屏蔽其余IP地址。下面是一个示例:/ n) Q! r- o/ ]6 A
C:> nslookup www.google.com
+ d# D2 g0 Q9 Q9 M# tServer: DNSSERVER. f+ f/ q. d( H% R* K8 o4 s. b, k+ i
Address: 1.1.1.10 F8 [' z7 ^* K5 e" Q
Non-authoritative answer:
! k+ L7 Z M1 W! b) L, k/ ZName: www.l.google.com* p+ f+ ]. _0 F6 H: p# _% J
Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99+ q% L1 V& L" x
Aliases: www.google.com
- g: n! y8 y0 b1 j, q( Y+ b( `- B其次,如果被禁止的网页服务器更改了IP地址,ACL中的地址并不会跟随变化。您必须对ACL进行人工更新。
* n9 n+ x- y) s4 b, H* p# n8 Y# X0 r步骤4:实施ACL
9 V( g; O6 o) }8 `9 k" W. X! D7 w仅仅创建了ACL并不意味着路由器就用上了它——我们还必须ACL进行实施。下面,假设我们建立一个ACL,以阻止内部局域网访问外部广域网(比如Internet)。因此我们应当用ACL的源地址过滤,而不是目标地址的过滤。; t1 a$ b# G2 n" Z3 p
同样,基于设计的目的,我们需要路由器的Out方向实施这个ACL。下面是一个示例:* q1 j0 m$ ~ o4 p$ j- T
Router(config)# int serial 0/0- e- ~# k; ~* W* l! w
Router(config-if)# ip access-group 101 out
# _+ J# N, j8 C1 ]# f1 \好,大功告成! |
发表于 2012-8-3 20:03:30
