用策略路由限制访问

在点播终端上使用URL打开网站，其实只实现这一访问互联网的功能很简单。只需要把该业务使用的IP地址通过策略路由指向互联网出口即可，但是除此之外还需要限制访问其他网站。

首先，我们根据网络的实际需求得到点播终端需要访问的网站域名，这里需要使用到一个程序nslookup，在对网站域名进行解析之前，我们先了解下nslookup的基本知识。

它可以指定查询的类型，也可以查到DNS记录的生存时间还可以指定使用哪个DNS服务器进行解释。在已安装TCP/IP协议的电脑上面均可以使用这个命令。主要用来诊断域名系统(DNS) 基础结构的信息。也可以说它是一个用于查询Internet域名信息或诊断DNS 服务器问题的工具。

接着，在dos窗口下使用命令nslookup 得到网站域名的IP地址，这里以其中一个网站 www.****.gov.cn为例介绍一下使用方法即：

通过在dos窗口下输入nslookup命令，可以看到当前使用的DNS是219.141.136.10，接下来再输入我们要解析的网址，最后就会得到该网站服务器的IP地址60.211.253.23 3。上面我们输入一个主机名www.****.gov.cn发现相应的IP地址。它也会相反的通过一个 IP 住址找出主机名。按照这个步骤我们依次将所需打开网站的域名都进行解析。

然后,根据这些解析出的IP地址来定义目的地址，即点播终端需要访问的地址。最后我们在定义点播终端所使用的源IP地址，即那些IP地址要访问目的地址。这样我们定义好源地址和目的地址后，就需要配置策略路由来实现网络中的需求，具体的配置即：

创建完新的ACL条目，目的是让定义好的源地址能正常访问域名服务器，下面我们将在route-map中调用ACL

将ACL在route-map中调用，并定义了路由的下一跳。然后匹配permit5中的ACL的请求，将被转发至互联网出口方。最后将routemap在端口上应用即可。具体配置命令即：

这样就有效的利用策略路由达到了指定源地址只能正常访问指定服务器的网络需求。

完成上面这些操作以后我们在点播终端进行指定网站打开测试的时候，提示网页无法打开，这是为什么呢？

我们将笔记本电脑连接上网络进行测试可以ping通IP地址（解析出的网站IP地址），但是ping域名不可以，这样就很容易分析到是DNS的问题，无法解析域名。这就需要将DNS服务器地址加到目的地址里面去。具体的配置命令即：

完成源地址至DNS服务器的通信，才能保证点播终端在打开网站域名的时候，首先和DNS服务器通信解析出IP地址，然后再和网站建立联系，从而完成整个通信过程。

同样，我们尝试打开其他网站，结果都是不能成功的。这是因为在我们配置的ACL条目中没有定义其他网站的IP地址。这样我们就满足了网络的需求。

下面总结一下，首先从得知网络需求后，计划使用策略路由来实现，然后根据采集到的网站信息使用nslookup命令解析出网站的IP地址作为策略路由中的目的地址，紧接着使用策略路由定义ACL条目指定源和目的地址，并在route-map中调用ACL，指定下一跳出接口IP地址，最后在接口下应用route-map。这一个流程下来完成了策略路由的设置。

在对网络进行验证过程中又在ACL中增加了DNS服务器的地址，这样就实现了点播终端访问特定网站的网络需求，又达到了其他网站被限制不能登录的目的，实现了两全其美的效果。