有臺Cisco 2600，平時般用作互聯網服務器。現在希望可以屏蔽某些特定網站，該怎么做呢？

這不是個困難任務——只要您知道Cisco IOS如何工作的。這里將指導您進行這項工作，并告訴您使這種方式應當注意些什么 。

步驟1：配置個DNS服務器

假設我們打算屏蔽個名www.badsite.com網站。我們并不知道該網站具體IP地址，而且們也不想知道。沒問題——Cisco IOS自己把地址找出并填上它。

要做到這點，們需至少在路由器上配置一臺DNS服務器。若想配置一臺DNS服務器，應使ip name-server命令。下面個例子：

Router(config)# ip name-server 1.1.1.1 2.2.2.2

本例中，我們配置一個主DNS服務器1.1.1.1，以及個備DNS服務器2.2.2.2，以便路由器對域名進行解析。這不會影響路由器任何流量 。當我們需對某個域名進行Ping服務時，路由器將使用這些DNS服務器。以下是具體示例：

Router# ping www.techrepublic.com

Translating "　main server (1.1.1.1) [OK]

在上述例子中，路由器使用了我們指定的域名服務器地址（1.1.1.1）來嘗試解析域名。它成功的將域名www.techrepublic.com解析為對應IP ——216.239.113.101。

如果我們不曾指定DNS服務器，那么路由器很可能返回下述這些反饋：

Translating "　main server (255.255.255.255)

Translating " main server (1.1.1.1) [OK]

這個ACL拒絕了所有對特定網站www.badsite.com訪問。在阻止訪問該網站同時，它允許所有人訪問其他任意網站。

最后，由于ACL的隱含禁止，除WWW外所有其通信將全部被禁止。

如果您想知道到底哪些IP地址試圖訪問被阻止的網站，可以通過使LOG關鍵字，記錄相關信息。下面是一個例子。

Router(config)# access-list 101 deny tcp any host www.badsite.com eq www log

步驟3：避免“遺漏”

有一點需注意。們輸入述ACL第一行后，留意路由器是如何使用DNS服務器來解析域名。然后它會用解析域名所得的IP地址替換掉ACL主機名。我們仔細看看配置：

Router# sh run | inc access-list 101

access-list 101 deny tcp any host 66.116.109.62 eq www

這是個很好的功能，但是可能由于幾個原因導致出現問題。首先，該IP僅僅是DNS服務器響應的第一個IP。如果這個大型網站，有多臺服務器 （比如一個搜索引擎），而ACL卻僅僅包含了DNS首先響應第一個IP——您不得不手工屏蔽其余IP地址。下面是一個示例：

C:> nslookup www.google.com

Server: DNSSERVER

Address: 1.1.1.1

Non-authoritative answer:

Name: www.l.google.com

Addresses: 64.233.167.104, 64.233.167.147, 64.233.167.99

Aliases: www.google.com

其次，如果被禁止的網頁服務器更改了IP地址，ACL中的地址并不會跟隨變化。您必須對ACL進行人工更新。

步驟4：實施ACL

僅僅創建了ACL并不意味著路由器就用上了它——我們還必須ACL進行實施。下面，假設我們建立一個ACL，以阻止內部局域網訪問外部廣域網（比如Internet）。因此我們應當用ACL的源地址過濾，而不是目標地址的過濾。

同樣，基于設計的目的，我們需要路由器的Out方向實施這個ACL。下面是一個示例：

Router(config)# int serial 0/0

Router(config-if)# ip access-group 101 out

好，大功告成！

【編輯推薦】

1. 思科認證小技巧－Windows的TCP/IP實用命令
2. 思科認證基礎:Switching 命令大全(1)
3. 思科認證：網絡工程師在英國的面試經歷