>[оверквотинг удален]
> циске.
> На всякий случай конфиг:
> ip inspect name Blck http urlfilter
> ip urlfilter allow-mode on
> ip urlfilter cache 0
> ip urlfilter exclusive-domain deny .vk.com
> ip urlfilter audit-trail
> ...
> На внешних интерфейсах:
> ip inspect Blck out

Задача не простая. При больших списках страниц памяти на эти урлы не напасешься, потому так просто в циске это не сделать.  Провы то по-моему по страницам не могут блочить, а у них рутеры не чета цискам.
Копни в сторону подключения внешнего сервера  - content-filtering server. Возможно через него получится.
ip urlfilter server vendor ....  
само собой серверок подымать придется. А оно имхо не нать. Я бы забил на это.

> Имеется циска 2951, на ней настроен urlfilter, безоговорочно блокирующий все прописаные
> сайты.

По http запросам можно фильтровать с помощью zone based firewall.
http://www.cisco.com/c/en/us/support/docs/security/ios-firew...

Но проблема будет с HTTPS. Чтобы заглядывать внутрь HTTPS запросов нужно "подделывать" сертификат сервера, клиент должен доверить этой подделке, тогда можно обрабатывать эти запросы от имени прокси. Для этого нужно промежуточное устройство, вроде как сквид так умеет (см. WCCP). Сам не настраивал, только краем глаза видел в инете.

Еще одна проблема будет с out-of-order пакетами, у IOS быстро переполняются буферы под кеш и он скидывает сеанс.