最近經(jīng)常有同事打“小報(bào)告”，埋怨網(wǎng)速越來越慢，并且領(lǐng)導(dǎo)也“深有同感”的意思，這下子問題必須得解決了，不然等“領(lǐng)導(dǎo)很生氣”的時(shí)候，肯定就“后果很嚴(yán)重”了。

先是Sniffer嗅探分析流量，然后是“明查暗訪”，***得出結(jié)論，最近有一批同事經(jīng)常不誤正業(yè)，沒事上一些播客網(wǎng)站在線看視頻，看的人多了，占了大量帶寬，其他同事自然就感覺網(wǎng)速慢了。本來想直接將流媒體服務(wù)禁掉就行了，但考慮到領(lǐng)導(dǎo)有些時(shí)候需要用到在線視頻一類的應(yīng)用，這一方法只得作罷。***想出一個(gè)辦法就是將國(guó)內(nèi)主流的播客站點(diǎn)全部“封殺”，他們上不去播客站點(diǎn)，自然也就不能在線看視頻了。說干就干，具體實(shí)施時(shí)，就想起了ACL(Access Control List，訪問控制列表)，通過訪問控制列表，就可以輕松的限制內(nèi)網(wǎng)員工訪問某些指定的網(wǎng)站。

一、獲取網(wǎng)站IP地址

通過訪問控制列表進(jìn)行控制，***的辦法就是直接對(duì)IP地址進(jìn)行控制，因此限制訪問指定網(wǎng)站，必須知道網(wǎng)站的IP地址才行。獲取網(wǎng)站IP地址的方法也很簡(jiǎn)單，直接Ping一下，便可返回網(wǎng)站的IP地址了(如圖1)。

圖 1

不過使用Ping的方法獲得的IP地址往往并不“可靠”，之所以說不可靠是因?yàn)楝F(xiàn)在很多大型的門戶網(wǎng)站都采取群集、網(wǎng)絡(luò)負(fù)載均衡技術(shù)，也就是說整個(gè)網(wǎng)站不是一臺(tái)服務(wù)器，而是由多臺(tái)服務(wù)器、多個(gè)IP地址綜合組成的，這樣可以保證網(wǎng)站的穩(wěn)定性和訪問速度方面都得到很好的提升。在這種情況下，使用Ping往往只能獲得一個(gè)IP地址，而其它IP地址成了“漏網(wǎng)之魚”，這樣封堵一個(gè)IP地址顯然也是取不到作用，因此要限制員工訪問某一網(wǎng)站，必須將該網(wǎng)站所有的IP地址全部封堵才行。

進(jìn)入“命令提示符”窗口，執(zhí)行“nslookup 網(wǎng)址”命令即可獲得網(wǎng)站的所有IP地址，如下圖是獲得網(wǎng)易主站的所有IP地址(如圖2)。

圖 2#p#

二、創(chuàng)建訪問控制列表

獲得特定網(wǎng)站IP地址后，就可以創(chuàng)建訪問控制列表了，這里我們只要使用Access-list命令依次將通過Ping或者Nslookup命令查出的網(wǎng)站地址屏蔽掉即可。

進(jìn)入全局配置模式，執(zhí)行“access-list ACL編號(hào) deny tcp any host 網(wǎng)站IP地址 eq www”命令將需要限制網(wǎng)站的IP地址禁止所有用戶訪問即可(如圖3)，反復(fù)執(zhí)行，直到所有的IP地址均屏蔽掉。

圖 3

三、應(yīng)用訪問控制列表

創(chuàng)建了訪問控制列表后，我們還需要將訪問控制列表部署實(shí)施到路由器上對(duì)應(yīng)的端口上，進(jìn)入接口配置模式，使用“IP access-group ACL編號(hào) out”信念實(shí)施即可。

圖 4

四、小結(jié)

這里只是舉了一個(gè)非常簡(jiǎn)單的例子，從文中也可以看出，如果要限制員工對(duì)某一網(wǎng)站的訪問，獲取該網(wǎng)站服務(wù)器完整的IP地址列表很關(guān)鍵，并且當(dāng)網(wǎng)站服務(wù)器IP地址有變更時(shí)，需在訪問控制列表中手動(dòng)更新它。而訪問控制列表對(duì)過對(duì)網(wǎng)站服務(wù)器IP地址的“阻止”訪問來達(dá)到限制員工訪問某一網(wǎng)站的目的。

其實(shí)在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，限制員工訪問指定網(wǎng)站的方法多種多樣，網(wǎng)絡(luò)行為管理軟件、ISA等，這里希望能給大家一個(gè)參考，多一個(gè)解決問題的思路。

【編輯推薦】

1. 訪問控制列表構(gòu)建網(wǎng)絡(luò)防火墻體系
2. 訪問控制列表工作過程和執(zhí)行流程