用訪問控制列表限制訪問指定網站
最近經常有同事打“小報告”,埋怨網速越來越慢,并且領導也“深有同感”的意思,這下子問題必須得解決了,不然等“領導很生氣”的時候,肯定就“后果很嚴重”了。
先是Sniffer嗅探分析流量,然后是“明查暗訪”,***得出結論,最近有一批同事經常不誤正業,沒事上一些播客網站在線看視頻,看的人多了,占了大量帶寬,其他同事自然就感覺網速慢了。本來想直接將流媒體服務禁掉就行了,但考慮到領導有些時候需要用到在線視頻一類的應用,這一方法只得作罷。***想出一個辦法就是將國內主流的播客站點全部“封殺”,他們上不去播客站點,自然也就不能在線看視頻了。說干就干,具體實施時,就想起了ACL(Access Control List,訪問控制列表),通過訪問控制列表,就可以輕松的限制內網員工訪問某些指定的網站。
一、獲取網站IP地址
通過訪問控制列表進行控制,***的辦法就是直接對IP地址進行控制,因此限制訪問指定網站,必須知道網站的IP地址才行。獲取網站IP地址的方法也很簡單,直接Ping一下,便可返回網站的IP地址了(如圖1)。
圖 1
不過使用Ping的方法獲得的IP地址往往并不“可靠”,之所以說不可靠是因為現在很多大型的門戶網站都采取群集、網絡負載均衡技術,也就是說整個網站不是一臺服務器,而是由多臺服務器、多個IP地址綜合組成的,這樣可以保證網站的穩定性和訪問速度方面都得到很好的提升。在這種情況下,使用Ping往往只能獲得一個IP地址,而其它IP地址成了“漏網之魚”,這樣封堵一個IP地址顯然也是取不到作用,因此要限制員工訪問某一網站,必須將該網站所有的IP地址全部封堵才行。
進入“命令提示符”窗口,執行“nslookup 網址”命令即可獲得網站的所有IP地址,如下圖是獲得網易主站的所有IP地址(如圖2)。
圖 2#p#
二、創建訪問控制列表
獲得特定網站IP地址后,就可以創建訪問控制列表了,這里我們只要使用Access-list命令依次將通過Ping或者Nslookup命令查出的網站地址屏蔽掉即可。
進入全局配置模式,執行“access-list ACL編號 deny tcp any host 網站IP地址 eq www”命令將需要限制網站的IP地址禁止所有用戶訪問即可(如圖3),反復執行,直到所有的IP地址均屏蔽掉。
圖 3
三、應用訪問控制列表
創建了訪問控制列表后,我們還需要將訪問控制列表部署實施到路由器上對應的端口上,進入接口配置模式,使用“IP access-group ACL編號 out”信念實施即可。
圖 4
四、小結
這里只是舉了一個非常簡單的例子,從文中也可以看出,如果要限制員工對某一網站的訪問,獲取該網站服務器完整的IP地址列表很關鍵,并且當網站服務器IP地址有變更時,需在訪問控制列表中手動更新它。而訪問控制列表對過對網站服務器IP地址的“阻止”訪問來達到限制員工訪問某一網站的目的。
其實在實際的企業網絡環境中,限制員工訪問指定網站的方法多種多樣,網絡行為管理軟件、ISA等,這里希望能給大家一個參考,多一個解決問題的思路。
【編輯推薦】
