BT限制方法

用戶瘋狂bt（p2p軟件）對網絡的使用造成了極大危害，目前常用的辦法是:
方法1、採用Cisco公司的nbar來限制；
配置步驟如下：

------------定義Class-map-------------；
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意：如果match protocol命令裏沒有bittorrent、edonkey選項，那麼說明你的IOS版本還沒有包括此協議，此時你需要到Cisco網站上下載bittorrent.pdlm、edonkey.pdlm文件，上傳到路由器上，然後定義這種協議：
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm）

------------定義policy-map-------------；
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
------------應用到接口上--------------；
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
說明：這種方法使用後對一些p2p軟件確實起作用，但目前Cisco只定義了少數幾個協議（bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等），不能覆蓋所有的此類軟件，這有待於Cisco的繼續努力；

方法2、採用ACL方法；

我們可以採用以下方式來配置ACL，一種是開放所有端口，只限制bt的端口，配置如下；
!
access-list 101 deny tcp any any range 6881 6890
access-list 101 deny tcp any range 6881 6890 any
access-list 101 permit ip any any
!
說明：這種方法有其侷限性，因爲現在有的p2p軟件，端口可以改變，封鎖後會自動改端口，甚至可以該到80端口，如果連這個也封，那網絡使用就無法正常工作了；


另外一種方式是隻開放有用的端口，封閉其他所有端口；
!
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 25
access-list 101 permit tcp any any eq 110
access-list 101 permit tcp any any eq 53
access-list 101 deny ip any any
!
說明：此方法是對網絡進行嚴格的控制，對簡單的小型網絡還可行，而如果是大型網絡，數據流量又很複雜那麼管理的難度將非常大；

還有一種方式是對端口是3000以上的流量進行限速；因爲多數蠕蟲病毒和p2p的端口都是大於3000的，當然也有正常的應用是採用3000以上的端口，如果我們將3000以上的端口封閉，這樣正常的應用也無法開展，所以折中的方法是對端口3000以上的數據流進行限速，例如：

------------定義Class-map--------------；
!
class-map match-all xs
match access-group 101
!
------------定義policy-map-------------；
policy-map xs
class xs
police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop
!
------------定義ACL--------------------；
!
access-list 101 permit tcp any any gt 3000
access-list 101 permit udp any any gt 3000
!
------------應用到接口上---------------；
interface f0/0
service-policy input xs
!

方法3、採用NAT的單用戶連接數限制；

在Cisco IOS 12.3(4)T 後的IOS軟件上支持NAT的單用戶限制，即可以對做地址轉換的單個IP限制其NAT的表項數，因爲p2p類軟件如bt的一大特點就是同時會有很多的連接數，從而佔用了大量的NAT表項，因此應用該方法可有效限制bt的使用，比如我們爲IP 10.1.1.1設置最大的NAT表項數爲200；正常的網絡訪問肯定夠用了，但如果使用bt，那麼很快此IP的NAT表項數達到200，一旦達到峯值，該IP的其他訪問就無法再進行NAT轉換，必須等待到NAT表項失效後，才能再次使用，這樣有效的保護了網絡的帶寬，同時也達到了警示的作用。
例如限制IP地址爲10.1.1.1的主機NAT的條目爲200條，配置如下：
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主機，使每臺主機的NAT條目爲200，可進行如下配置：
ip nat translation max-entries all-host 200

以上我們總結了目前可用的限制bt（p2p軟件）的一些方法，具體採用哪種方法只能您根據自己網絡的狀況來定，當然也可以將幾種方法結合起來使用。