用戶瘋狂bt(p2p軟件)對網(wǎng)絡的使用造成了極大危害,目前常用的辦法是:
方法1、采用Cisco公司的nbar來限制;
配置步驟如下:
------------定義Class-map-------------;
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意:如果match protocol命令里沒有bittorrent、edonkey選項,那么說明你的IOS版本還沒有包括此協(xié)議,此時你需要到Cisco網(wǎng)站上下載bittorrent.pdlm、edonkey.pdlm文件,上傳到路由器上,然后定義這種協(xié)議:
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm)
------------定義policy-map-------------;
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
------------應用到接口上--------------;
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
說明:這種方法使用后對一些p2p軟件確實起作用,但目前Cisco只定義了少數(shù)幾個協(xié)議(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆蓋所有的此類軟件,這有待于Cisco的繼續(xù)努力;
方法2、采用ACL方法;
我們可以采用以下方式來配置ACL,一種是開放所有端口,只限制bt的端口,配置如下;!
access-list 101 deny tcp any any range 6881 6890 access-list 101 deny tcp any range 6881 6890 any access-list 101 permit ip any any!
說明:這種方法有其局限性,因為現(xiàn)在有的p2p軟件,端口可以改變,封鎖后會自動改端口,甚至可以該到80端口,如果連這個也封,那網(wǎng)絡使用就無法正常工作了;
另外一種方式是只開放有用的端口,封閉其他所有端口;!
access-list 101 permit tcp any any eq 80 access-list 101 permit tcp any any eq 25 access-list 101 permit tcp any any eq 110 access-list 101 permit tcp any any eq 53 access-list 101 deny ip any any!
說明:此方法是對網(wǎng)絡進行嚴格的控制,對簡單的小型網(wǎng)絡還可行,而如果是大型網(wǎng)絡,數(shù)據(jù)流量又很復雜那么管理的難度將非常大;
還有一種方式是對端口是3000以上的流量進行限速;因為多數(shù)蠕蟲病毒和p2p的端口都是大于3000的,當然也有正常的應用是采用3000以上的端口,如果我們將3000以上的端口封閉,這樣正常的應用也無法開展,所以折中的方法是對端口3000以上的數(shù)據(jù)流進行限速,例如:
------------定義Class-map--------------;
!
class-map match-all xs match access-group 101!
------------定義policy-map-------------;
policy-map xs class xs police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop!
------------定義ACL--------------------;
!
access-list 101 permit tcp any any gt 3000 access-list 101 permit udp any any gt 3000!
------------應用到接口上---------------;
interface f0/0 service-policy input xs!
方法3、采用NAT的單用戶連接數(shù)限制;
在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉換的單個IP限制其NAT的表項數(shù),因為p2p類軟件如bt的一大特點就是同時會有很多的連接數(shù),從而占用了大量的NAT表項,因此應用該方法可有效限制bt的使用,比如我們?yōu)镮P 10.1.1.1設置最大的NAT表項數(shù)為200;正常的網(wǎng)絡訪問肯定夠用了,但如果使用bt,那么很快此IP的NAT表項數(shù)達到200,一旦達到峰值,該IP的其他訪問就無法再進行NAT轉換,必須等待到NAT表項失效后,才能再次使用,這樣有效的保護了網(wǎng)絡的帶寬,同時也達到了警示的作用。
例如限制IP地址為10.1.1.1的主機NAT的條目為200條,配置如下:ip nat translation max-entries host 10.1.1.1 200如果想限制所有主機,使每臺主機的NAT條目為200,可進行如下配置:ip nat translation max-entries all-host 200
以上我們總結了目前可用的限制bt(p2p軟件)的一些方法,具體采用哪種方法只能您根據(jù)自己網(wǎng)絡的狀況來定,當然也可以將幾種方法結合起來使用。
