可以通过使用 NBAR 匹配您要阻止的 URL 然后丢弃匹配的流量来实现穷人的过滤器。

例如，如果你想阻止谷歌，你可以使用以下

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

因为这是一个匹配任何类映射，所以您可以添加更多 URL 以在类中匹配。

注意：基于 URL 的匹配需要在 1921 中完成，而不是 L2/3 交换机。

与您的思科合作伙伴或思科 SE 合作使用集成在 IOS 中的 ScanSafe 解决方案：

http://www.cisco.com/en/US/prod/collat​​eral/vpndevc/ps6525/ps6538/ps6540/data_sheet_c78-655324.html

根据我的经验，我所做的是：

1) 在 L3 交换机上设置 SPAN 会话并将流量发送到将进行监控的目标端口。2) 通过针对允许和不允许的内容设置策略，配置 Websense 以监控网站流量。

我知道这可能不是您正在寻找的内容，但简而言之，这是基础知识。仅拥有路由器和 L3 交换机不允许您监控/阻止网站流量。除了 Websense 之外，还有其他产品（例如 Dansguardian）可以解决问题，但 Websense 可能是迄今为止最容易设置的产品，但在许可和硬件要求方面也是最昂贵的产品之一。

在监控网站流量时，您还必须考虑的是您的网络规模。如果您正在监控 200 多个客户端，我不会推荐任何低于具有双千兆链路和 8GB RAM 的四核 Xeon 机箱。在决定监控流量时，调整大小非常重要，因为监控的盒子可能会阻塞出站流量，以至于高层决定为您将盒子从网络中拉出。

以上是我监控网站流量的经验，您有什么想法？

另一种选择是在 DNS 服务器上阻止 URL，在概念上类似于 HOSTS 文件（假设您正在运行自己的 DNS 服务器）。

例如，如果 IOS 正在运行 DNS 服务器，则可以添加：

路由器（配置）# ip 主机 facebook.com 127.0.0.1

或者，您可以将 127.0.0.1 替换为一个简单的 Web 服务器的 IP，其中包含一个静态页面，列出哪些站点被禁止以及为什么被禁止。