用访问控制列表限制访问指定网站.doc

用访问控制列表限制访问指定网站.doc用访问控制列表限制访问指定网站~教育资源库
最近经常有同事打小报告,埋怨网速越来越慢,并且领导也深有同感的意思,这下子问题必须得解决了,不然等领导很生气的时候,肯定就后果很严重了。
先是Sniffer嗅探分析流量,然后是明查暗访,最后得出结论,最近有一批同事经常不误正业,没事上一些播客网站在线看视频,看的人多了,占了大量带宽,其他同事自然就感觉网速慢了。本来想直接将流媒体服务禁掉就行了,但考虑到领导有些时候需要用到在线视频一类的应用,这一方法只得作罢。最后想出一个办法就是将国内主流的播客站点全部封杀,他们上不去播客站点,自然也就不能在线看视频了。说干就干,具体实施时,就想起了ACL(Access Control List,访问控制列表),通过访问控制列表,就可以轻松的限制内网员工访问某些指定的网站。
一、获取网站IP地址
通过访问控制列表进行控制,最好的办法就是直接对IP地址进行控制,因此限制访问指定网站,必须知道网站的IP地址才行。获取网站IP地址的方法也很简单,直接Ping一下,便可返回网站的IP地址了(如图1)。

图 1
不过使用Ping的方法获得的IP地址往往并不可靠,之所以说不可靠是因为现在很多大型的门户网站都采取群集、网络负载均衡技术,也就是说整个网站不是一台服务器,而是由多台服务器、多个IP地址综合组成的,这样可以保证网站的稳定性和访问速度方面都得到很好的提升。在这种情况下,使用Ping往往只能获得一个IP地址,而其它IP地址成了漏网之鱼,这样封堵一个IP地址显然也是取不到作用,因此要限制员工访问某一网站,必须将该网站所有的IP地址全部封堵才行。
进入命令提示符窗口,执行nslookup 命令即可获得网站的所有IP地址,如下图是获得网易主站的所有IP地址(如图2)。

图 2
二、创建访问控制列表
获得特定网站IP地址后,就可以创建访问控制列表了,ess-list命令依次将通过Ping或者Nslookup命令查出的网站地址屏蔽掉即可。
进入全局配置模式,ess-list ACL编号 deny tcp any host 网站IP地址 eq 命令