配置cisco路由器阻止网站访问.doc
3页
步骤步骤 1:配置一个:配置一个 DNS 服务器服务器 假设我们打算屏蔽一个名为 的网站我们并不知道该网站的具体 IP 地址,而且我们也不想知道没问题——Cisco IOS 会自己 把地址找出来并填上它 要做到这一点,我们需要至少在路由器上配置一台 DNS 服务器若想配置一台 DNS 服务器,应使用 ip name-server 命令下面是个例子: Router(config)# ip name-server 1.1.1.1 2.2.2.2本例中,我们配置了一个主 DNS 服务器 1.1.1.1,以及一个备用 DNS 服务器 2.2.2.2, 以便路由器对域名进行解析这不会影响路由器的任何流量 当我们需要对某个域名进行 Ping 服务时,路由器将使用这些 DNS 服务器以下是具体示例: Router# ping Translating ““...do main server (1.1.1.1) [OK] Type escape sequence to abort.Sen* 5, 100-byte ICMP Echos to 216.239.113.101, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 msRouter#在上述例子中,路由器使用了我们指定的域名服务器地址(1.1.1.1)来尝试解析域名。
它成功的将域名 解析为对应的 IP ——216.239.113.101 如果我们不曾指定 DNS 服务器,那么路由器很可能会返回下述这些反馈: Translating ““...do main server (255.255.255.255)% Unrecognized host or address, or protocol not running.(不认识的主机或地址,或可能协议未运行)步骤步骤 2:建立:建立 ACL 想真正阻止访问某个网站,我们必须建立一个存取控制列表(access control list,简称 ACL)来具体定义我们想阻止什么下面是个例子: Router(config)# access-list 101 deny tcp any host eq wwwTranslating ““...do main server (1.1.1.1) [OK]Router(config)# access-list 101 permit tcp any any eq www! to allow all other web traffic这个 ACL 拒绝了所有对特定网站 的访问。
在阻止访问该网站的同时, 它允许所有人访问其他任意网站 最后,由于 ACL 的隐含禁止,除 WWW 外所有的其他通信将全部被禁止 如果您想知道到底是哪些 IP 地址在试图访问被阻止的网站,可以通过使用 LOG 关键字, 记录相关信息下面是个例子 Router(config)# access-list 101 deny tcp any host eq www log步骤步骤 3:避免:避免“遗漏遗漏” 有一点需要注意在我们输入了上述 ACL 的第一行之后,留意路由器是如何使用 DNS 服务器来解析域名的然后它会用解析域名所得的 IP 地址替 换掉 ACL 中的主机名 我们来仔细看看配置: Router# sh run | inc access-list 101access-list 101 deny tcp any host 66.116.109.62 eq www这是个很好的功能,但是可能由于几个原因导致出现问题首先,该 IP 仅仅是 DNS 服务器响应的第一个 IP如果这是个大型网站,有多台服务器 (比如一个搜索引擎) ,而 ACL 却仅仅包含了 DNS 首先响应的第一个 IP——您将不得不手工屏蔽其余的 IP 地址。
下 面是个示例: C:\> nslookup Server: DNSSERVERAddress: 1.1.1.1Non-authoritative answer:Name: Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99Aliases: 其次,如果被禁止的网页服务器更改了 IP 地址,ACL 中的地址并不会跟随变化您 必须对 ACL 进行人为更新 步骤步骤 4:实施:实施 ACL 仅仅创建了 ACL 并不意味着路由器就用上了它——我们还必须对 ACL 进行实施下 面,假设我们要建立一个 ACL,以阻止内部局域网访问外部的广 域网(比如 Internet) 因此我们应当用 ACL 的源地址过滤,而不是目标地址的过滤 同样,基于设计的目的,我们需要在路由器的 Out 方向实施这个 ACL下面是示例 Router(config)# int serial 0/0Router(config-if)# ip access-group 101 out好了,大功告成!。
