Cisco 1800 路由器仅允许特定域(可变 IP)

Cisco 1800 路由器仅允许特定域(可变 IP)

我有一台 CISCO 1800 路由器。我想只允许一个特定域。它是集群的,所以我不知道 IP 地址是什么。

更新

这就是我需要的。在思科路由器中,我可以设置 ACL 以允许特定 IP。我正在使用本指南为一家公司进行设置:

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

对于 IP,我设置如下:

访问列表 acl_permit 允许 ip 192.168.32.0 0.0.7.255

但是,对于某些我不想阻止的网站,我需要允许特定域。所以我不想在命令中输入 IP 地址。我该怎么做?有什么想法吗?

答案1

我猜你说的域是指 Windows 域?我不知道有什么可以做到这一点,可能是通过使用从 radius 属性获得的 acl,以及基于域的属性生成这些 radius ACL 的脚本来实现的。话虽如此,我认为这不是一个好主意。出于安全和实际原因,我认为这会过于集成。

如果您指的是老式的 DNS,那么网络实际上并不是这样工作的。访问网页的客户端在发送 Web 请求之前会解析 IP。因此,当请求到达路由器时,它们不会转到域,而是转到 IP(我忽略了 HTTP 标头等,但这只会更加令人困惑)。

通常情况下,您通常希望基于 UDP/TCP 端口和 IP 构建 ACL。我建议您阅读一本介绍 Cisco 的书,它不仅涵盖 Cisco 本身,还涵盖基本网络的工作原理。也许一本好书可能是Sybex CCNA. 使用这些基础知识来管理路由器通常非常危险。

答案2

您可能最好将 WCCP 实现到过滤代理,而不是尝试(滥用)使用 ACL 机制。ACL 在第 3 层(或第 2 层,如果它们是 MAC 级 ACL)上工作,并且没有“域名”的概念。在高端路由器上,ACL 被编译成 ASIC 配置,并将在可编程硬件中运行,而不是被解释。强迫高端路由器频繁进行 DNS 查找(必须确保每个数据包都 100% 准确)绝对会降低性能。

相关内容