请教基于域名的ACL

pingtelnet

想允许用户访问某些域名，禁止访问其他
在列表写per ip 192.168.1.0 0.0.0.255 ho www.xxx.com
提示Translating "www.xxx.com"...domain server (192.168.87.10) [OK]

192.168.87.10是我内网的DNS

然后show access-list
Extended IP access list 100
10 permit ip 192.168.1.0 0.0.0.255 host 1.1.1.1

刚刚写的那条列表的host会自动解析成一个IP（比如pingwww.xxx.com就得到1.1.1.1），而不是域名，但很多网站，一个域名对应多个IP，或多个二级域名，不知道怎么办了~

在3750上做的，网管机可以ping和访问www.xxx.com，在3750上是不能ping通www.xxx.com的
ip name-server
ip domainlookup都打开了

在线等高人

ssffzz1

你解析处地址一个一个加吧。

cnadl

37是没戏了，不过既然用37，也许你会有rt或者fw。以下为无责任转帖。。。

http://www.cisco.com/en/US/docs/ ... ffic.html#wp1072889

http://www.cisco.com/en/US/docs/ ... _Guide_Chapter.html

pingtelnet

37是没戏了，不过既然用37，也许你会有rt或者fw。以下为无责任转帖。。。
cnadl 发表于 2010-09-14 11:19

    谢谢，还有个2821

http://bbs.chinaunix.net/thread-1782744-1-1.html

cnadl

28是rt，参见ios解决方案