Cisco 1800 路由器仅允许特定域（可变 IP）

Question 1

我猜你说的域是指 Windows 域？我不知道有什么可以做到这一点，可能是通过使用从 radius 属性获得的 acl，以及基于域的属性生成这些 radius ACL 的脚本来实现的。话虽如此，我认为这不是一个好主意。出于安全和实际原因，我认为这会过于集成。

如果您指的是老式的 DNS，那么网络实际上并不是这样工作的。访问网页的客户端在发送 Web 请求之前会解析 IP。因此，当请求到达路由器时，它们不会转到域，而是转到 IP（我忽略了 HTTP 标头等，但这只会更加令人困惑）。

通常情况下，您通常希望基于 UDP/TCP 端口和 IP 构建 ACL。我建议您阅读一本介绍 Cisco 的书，它不仅涵盖 Cisco 本身，还涵盖基本网络的工作原理。也许一本好书可能是Sybex CCNA. 使用这些基础知识来管理路由器通常非常危险。

Answer

我猜你说的域是指 Windows 域？我不知道有什么可以做到这一点，可能是通过使用从 radius 属性获得的 acl，以及基于域的属性生成这些 radius ACL 的脚本来实现的。话虽如此，我认为这不是一个好主意。出于安全和实际原因，我认为这会过于集成。

如果您指的是老式的 DNS，那么网络实际上并不是这样工作的。访问网页的客户端在发送 Web 请求之前会解析 IP。因此，当请求到达路由器时，它们不会转到域，而是转到 IP（我忽略了 HTTP 标头等，但这只会更加令人困惑）。

通常情况下，您通常希望基于 UDP/TCP 端口和 IP 构建 ACL。我建议您阅读一本介绍 Cisco 的书，它不仅涵盖 Cisco 本身，还涵盖基本网络的工作原理。也许一本好书可能是Sybex CCNA. 使用这些基础知识来管理路由器通常非常危险。

Question 2

您可能最好将 WCCP 实现到过滤代理，而不是尝试（滥用）使用 ACL 机制。ACL 在第 3 层（或第 2 层，如果它们是 MAC 级 ACL）上工作，并且没有“域名”的概念。在高端路由器上，ACL 被编译成 ASIC 配置，并将在可编程硬件中运行，而不是被解释。强迫高端路由器频繁进行 DNS 查找（必须确保每个数据包都 100% 准确）绝对会降低性能。

Answer

您可能最好将 WCCP 实现到过滤代理，而不是尝试（滥用）使用 ACL 机制。ACL 在第 3 层（或第 2 层，如果它们是 MAC 级 ACL）上工作，并且没有“域名”的概念。在高端路由器上，ACL 被编译成 ASIC 配置，并将在可编程硬件中运行，而不是被解释。强迫高端路由器频繁进行 DNS 查找（必须确保每个数据包都 100% 准确）绝对会降低性能。

Cisco 1800 路由器仅允许特定域（可变 IP）

答案1

答案2

相关内容