在CISCO路由器上防止BIT下載的解決方案

用戶瘋狂bt(p2p軟件)對網絡的使用造成了極大危害,目前常用的辦法是:   方法1、採用Cisco公司的nbar來限制;
  
配置步驟如下:
  ------------定義Class-map-------------;
  !
  class-map match-all bittorrent
  match protocol bittorrent
  class-map match-all edonkey
  match protocol edonkey
  !
   注意:如果match protocol命令裏沒有bittorrent、edonkey選項,那麼說明你的IOS版本還沒有包括此協議,此時你需要到Cisco網站上下載bittorrent.pdlm、edonkey.pdlm文件,上傳到路由器上,然後定義這種協議:
  ip nbar pdlm bittorrent.pdlm
  ip nbar pdlm edonkey.pdlm)
  ------------定義policy-map-------------;
  !
  policy-map limit-bt
  class bittorrent
  drop
  class edonkey
  drop
  !
  ------------應用到接口上--------------;
  !
  interface f0/0
  service-policy input limit-bt
  service-policy output limit-bt
  !
  說明:這種方法使用後對一些p2p軟件確實起作用,但目前Cisco只定義了少數幾個協議(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆蓋所有的此類軟件,這有待於Cisco的繼續努力;
方法2、採用ACL方法;
  我們可以採用以下方式來配置ACL,一種是開放所有端口,只限制bt的端口,配置如下;!
  access-list 101 deny tcp any any range 6881 6890 access-list 101 deny tcp any range 6881 6890 any access-list 101 permit ip any any!
  說明:這種方法有其侷限性,因爲現在有的p2p軟件,端口可以改變,封鎖後會自動改端口,甚至可以該到80端口,如果連這個也封,那網絡使用就無法正常工作了;
  另外一種方式是隻開放有用的端口,封閉其他所有端口;!
  access-list 101 permit tcp any any eq 80 access-list 101 permit tcp any any eq 25 access-list 101 permit tcp any any eq 110 access-list 101 permit tcp any any eq 53 access-list 101 deny ip any any!
  說明:此方法是對網絡進行嚴格的控制,對簡單的小型網絡還可行,而如果是大型網絡,數據流量又很複雜那麼管理的難度將非常大;
  還有一種方式是對端口是3000以上的流量進行限速;因爲多數蠕蟲病毒和p2p的端口都是大於3000的,當然也有正常的應用是採用3000以上的端口,如果我們將3000以上的端口封閉,這樣正常的應用也無法開展,所以折中的方法是對端口3000以上的數據流進行限速,例如:
------------定義Class-map--------------;
  !
  class-map match-all xs match access-group 101!
------------定義policy-map-------------;
  policy-map xs class xs police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop!
------------定義ACL--------------------;
  !
  access-list 101 permit tcp any any gt 3000 access-list 101 permit udp any any gt 3000!
------------應用到接口上---------------;
  interface f0/0 service-policy input xs!
  方法3、採用NAT的單用戶連接數限制;
  在Cisco IOS 12.3(4)T 後的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉換的單個IP限制其NAT的表項數,因爲p2p類軟件如bt的一大特點就是同時會有很多的連接數,從而佔用了大量的NAT表項,因此應用該方法可有效限制bt的使用,比如我們爲IP 10.1.1.1設置最大的NAT表項數爲200;正常的網絡訪問肯定夠用了,但如果使用bt,那麼很快此IP的NAT表項數達到200,一旦達到峯值,該IP的其他訪問就無法再進行NAT轉換,必須等待到NAT表項失效後,才能再次使用,這樣有效的保護了網絡的帶寬,同時也達到了警示的作用。
  例如限制IP地址爲10.1.1.1的主機NAT的條目爲200條,配置如下:ip nat translation max-entries host 10.1.1.1 200如果想限制所有主機,使每臺主機的NAT條目爲200,可進行如下配置:ip nat translation max-entries all-host 200
  以上我們總結了目前可用的限制bt(p2p軟件)的一些方法,具體採用哪種方法只能您根據自己網絡的狀況來定,當然也可以將幾種方法結合起來使用。
發佈了9 篇原創文章 · 獲贊 13 · 訪問量 24萬+
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章