用戶瘋狂bt(p2p軟件)對(duì)網(wǎng)絡(luò)的使用造成了極大危害,目前常用的辦法是:
方法1、采用Cisco公司的nbar來限制;
配置步驟如下:
------------定義Class-map-------------;
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意:如果match protocol命令里沒有bittorrent、edonkey選項(xiàng),那么說明你的IOS版本還沒有包括此協(xié)議,此時(shí)你需要到Cisco網(wǎng)站上下載bittorrent.pdlm、edonkey.pdlm文件,上傳到路由器上,然后定義這種協(xié)議:
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm)
------------定義policy-map-------------;
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
------------應(yīng)用到接口上--------------;
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
說明:這種方法使用后對(duì)一些p2p軟件確實(shí)起作用,但目前Cisco只定義了少數(shù)幾個(gè)協(xié)議(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆蓋所有的此類軟件,這有待于Cisco的繼續(xù)努力;
方法2、采用ACL方法;
我們可以采用以下方式來配置ACL,一種是開放所有端口,只限制bt的端口,配置如下;!
access-list 101 deny tcp any any range 6881 6890 access-list 101 deny tcp any range 6881 6890 any access-list 101 permit ip any any!
說明:這種方法有其局限性,因?yàn)楝F(xiàn)在有的p2p軟件,端口可以改變,封鎖后會(huì)自動(dòng)改端口,甚至可以該到80端口,如果連這個(gè)也封,那網(wǎng)絡(luò)使用就無法正常工作了;
另外一種方式是只開放有用的端口,封閉其他所有端口;!
access-list 101 permit tcp any any eq 80 access-list 101 permit tcp any any eq 25 access-list 101 permit tcp any any eq 110 access-list 101 permit tcp any any eq 53 access-list 101 deny ip any any!
說明:此方法是對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格的控制,對(duì)簡單的小型網(wǎng)絡(luò)還可行,而如果是大型網(wǎng)絡(luò),數(shù)據(jù)流量又很復(fù)雜那么管理的難度將非常大;
還有一種方式是對(duì)端口是3000以上的流量進(jìn)行限速;因?yàn)槎鄶?shù)蠕蟲病毒和p2p的端口都是大于3000的,當(dāng)然也有正常的應(yīng)用是采用3000以上的端口,如果我們將3000以上的端口封閉,這樣正常的應(yīng)用也無法開展,所以折中的方法是對(duì)端口3000以上的數(shù)據(jù)流進(jìn)行限速,例如:
------------定義Class-map--------------;
!
class-map match-all xs match access-group 101!
------------定義policy-map-------------;
policy-map xs class xs police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop!
------------定義ACL--------------------;
!
access-list 101 permit tcp any any gt 3000 access-list 101 permit udp any any gt 3000!
------------應(yīng)用到接口上---------------;
interface f0/0 service-policy input xs!
方法3、采用NAT的單用戶連接數(shù)限制;
在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制,即可以對(duì)做地址轉(zhuǎn)換的單個(gè)IP限制其NAT的表項(xiàng)數(shù),因?yàn)閜2p類軟件如bt的一大特點(diǎn)就是同時(shí)會(huì)有很多的連接數(shù),從而占用了大量的NAT表項(xiàng),因此應(yīng)用該方法可有效限制bt的使用,比如我們?yōu)镮P 10.1.1.1設(shè)置最大的NAT表項(xiàng)數(shù)為200;正常的網(wǎng)絡(luò)訪問肯定夠用了,但如果使用bt,那么很快此IP的NAT表項(xiàng)數(shù)達(dá)到200,一旦達(dá)到峰值,該IP的其他訪問就無法再進(jìn)行NAT轉(zhuǎn)換,必須等待到NAT表項(xiàng)失效后,才能再次使用,這樣有效的保護(hù)了網(wǎng)絡(luò)的帶寬,同時(shí)也達(dá)到了警示的作用。
例如限制IP地址為10.1.1.1的主機(jī)NAT的條目為200條,配置如下:ip nat translation max-entries host 10.1.1.1 200如果想限制所有主機(jī),使每臺(tái)主機(jī)的NAT條目為200,可進(jìn)行如下配置:ip nat translation max-entries all-host 200
以上我們總結(jié)了目前可用的限制bt(p2p軟件)的一些方法,具體采用哪種方法只能您根據(jù)自己網(wǎng)絡(luò)的狀況來定,當(dāng)然也可以將幾種方法結(jié)合起來使用。
