Маршрутизатор Cisco 1800 разрешает только определенный домен (переменный IP)

Я предполагаю, что под доменом вы имеете в виду домен Windows? Я не знаю ничего, что делает это, возможно, это возможно с помощью ACL, полученных из атрибутов радиуса, со скриптом, который генерирует эти ACL радиуса на основе свойств домена. При этом я не думаю, что это было бы хорошей идеей. В моем понимании это было бы слишком большой интеграцией по соображениям безопасности и практическим соображениям.

Если вы имеете в виду старые добрые DNS, сеть на самом деле так не работает. Клиенты, получающие доступ, говорят, что веб-страница разрешает IP-адрес перед отправкой веб-запроса. Таким образом, запросы не отправляются в домен, когда достигают маршрутизатора, а скорее IP (я игнорирую заголовки HTTP и тому подобное, но это будет еще более запутанным).

Обычно вы хотите создавать свои списки ACL на основе портов UDP / TCP и IP-адресов по большей части. Я рекомендую вам прочитать вводную книгу Cisco, которая охватывает не только саму Cisco, но и принципы работы основных сетей. Возможно, хорошая книга могла бы быть Sybex CCNA. Администрирование маршрутизаторов с этими основами обычно довольно опасно.

Вероятно, вам лучше внедрить WCCP в фильтрующий прокси, чем пытаться (ab) использовать механизм ACL. ACL работают на уровне 3 (или уровне 2, если они ACL уровня MAC) и не имеют понятия «доменное имя». На маршрутизаторах более высокого уровня ACL компилируются в конфигурацию ASIC и будут выполняться на программируемом оборудовании, а не интерпретироваться. Принуждение высокопроизводительного маршрутизатора к частому поиску DNS (чтобы каждый пакет был точным на 100%) полностью убил бы производительность.