用戶瘋狂bt(p2p軟件)對網絡的使用造成了極大危害,目前常用的辦法是: 方法1、採用Cisco公司的nbar來限制;
配置步驟如下:
------------定義Class-map-------------;
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意:如果match protocol命令裏沒有bittorrent、edonkey選項,那麼說明你的IOS版本還沒有包括此協議,此時你需要到Cisco網站上下載bittorrent.pdlm、edonkey.pdlm文件,上傳到路由器上,然後定義這種協議:
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm)
------------定義policy-map-------------;
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
------------應用到接口上--------------;
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
說明:這種方法使用後對一些p2p軟件確實起作用,但目前Cisco只定義了少數幾個協議(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆蓋所有的此類軟件,這有待於Cisco的繼續努力;
方法2、採用ACL方法;
我們可以採用以下方式來配置ACL,一種是開放所有端口,只限制bt的端口,配置如下;!
access-list 101 deny tcp any any range 6881 6890 access-list 101 deny tcp any range 6881 6890 any access-list 101 permit ip any any!
說明:這種方法有其侷限性,因爲現在有的p2p軟件,端口可以改變,封鎖後會自動改端口,甚至可以該到80端口,如果連這個也封,那網絡使用就無法正常工作了;
另外一種方式是隻開放有用的端口,封閉其他所有端口;!
access-list 101 permit tcp any any eq 80 access-list 101 permit tcp any any eq 25 access-list 101 permit tcp any any eq 110 access-list 101 permit tcp any any eq 53 access-list 101 deny ip any any!
說明:此方法是對網絡進行嚴格的控制,對簡單的小型網絡還可行,而如果是大型網絡,數據流量又很複雜那麼管理的難度將非常大;
還有一種方式是對端口是3000以上的流量進行限速;因爲多數蠕蟲病毒和p2p的端口都是大於3000的,當然也有正常的應用是採用3000以上的端口,如果我們將3000以上的端口封閉,這樣正常的應用也無法開展,所以折中的方法是對端口3000以上的數據流進行限速,例如:
------------定義Class-map--------------;
!
class-map match-all xs match access-group 101!
------------定義policy-map-------------;
policy-map xs class xs police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop!
------------定義ACL--------------------;
!
access-list 101 permit tcp any any gt 3000 access-list 101 permit udp any any gt 3000!
------------應用到接口上---------------;
interface f0/0 service-policy input xs!
方法3、採用NAT的單用戶連接數限制;
在Cisco IOS 12.3(4)T 後的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉換的單個IP限制其NAT的表項數,因爲p2p類軟件如bt的一大特點就是同時會有很多的連接數,從而佔用了大量的NAT表項,因此應用該方法可有效限制bt的使用,比如我們爲IP 10.1.1.1設置最大的NAT表項數爲200;正常的網絡訪問肯定夠用了,但如果使用bt,那麼很快此IP的NAT表項數達到200,一旦達到峯值,該IP的其他訪問就無法再進行NAT轉換,必須等待到NAT表項失效後,才能再次使用,這樣有效的保護了網絡的帶寬,同時也達到了警示的作用。
例如限制IP地址爲10.1.1.1的主機NAT的條目爲200條,配置如下:ip nat translation max-entries host 10.1.1.1 200如果想限制所有主機,使每臺主機的NAT條目爲200,可進行如下配置:ip nat translation max-entries all-host 200
以上我們總結了目前可用的限制bt(p2p軟件)的一些方法,具體採用哪種方法只能您根據自己網絡的狀況來定,當然也可以將幾種方法結合起來使用。
配置步驟如下:
------------定義Class-map-------------;
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意:如果match protocol命令裏沒有bittorrent、edonkey選項,那麼說明你的IOS版本還沒有包括此協議,此時你需要到Cisco網站上下載bittorrent.pdlm、edonkey.pdlm文件,上傳到路由器上,然後定義這種協議:
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm)
------------定義policy-map-------------;
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
------------應用到接口上--------------;
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
說明:這種方法使用後對一些p2p軟件確實起作用,但目前Cisco只定義了少數幾個協議(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆蓋所有的此類軟件,這有待於Cisco的繼續努力;
方法2、採用ACL方法;
我們可以採用以下方式來配置ACL,一種是開放所有端口,只限制bt的端口,配置如下;!
access-list 101 deny tcp any any range 6881 6890 access-list 101 deny tcp any range 6881 6890 any access-list 101 permit ip any any!
說明:這種方法有其侷限性,因爲現在有的p2p軟件,端口可以改變,封鎖後會自動改端口,甚至可以該到80端口,如果連這個也封,那網絡使用就無法正常工作了;
另外一種方式是隻開放有用的端口,封閉其他所有端口;!
access-list 101 permit tcp any any eq 80 access-list 101 permit tcp any any eq 25 access-list 101 permit tcp any any eq 110 access-list 101 permit tcp any any eq 53 access-list 101 deny ip any any!
說明:此方法是對網絡進行嚴格的控制,對簡單的小型網絡還可行,而如果是大型網絡,數據流量又很複雜那麼管理的難度將非常大;
還有一種方式是對端口是3000以上的流量進行限速;因爲多數蠕蟲病毒和p2p的端口都是大於3000的,當然也有正常的應用是採用3000以上的端口,如果我們將3000以上的端口封閉,這樣正常的應用也無法開展,所以折中的方法是對端口3000以上的數據流進行限速,例如:
------------定義Class-map--------------;
!
class-map match-all xs match access-group 101!
------------定義policy-map-------------;
policy-map xs class xs police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop!
------------定義ACL--------------------;
!
access-list 101 permit tcp any any gt 3000 access-list 101 permit udp any any gt 3000!
------------應用到接口上---------------;
interface f0/0 service-policy input xs!
方法3、採用NAT的單用戶連接數限制;
在Cisco IOS 12.3(4)T 後的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉換的單個IP限制其NAT的表項數,因爲p2p類軟件如bt的一大特點就是同時會有很多的連接數,從而佔用了大量的NAT表項,因此應用該方法可有效限制bt的使用,比如我們爲IP 10.1.1.1設置最大的NAT表項數爲200;正常的網絡訪問肯定夠用了,但如果使用bt,那麼很快此IP的NAT表項數達到200,一旦達到峯值,該IP的其他訪問就無法再進行NAT轉換,必須等待到NAT表項失效後,才能再次使用,這樣有效的保護了網絡的帶寬,同時也達到了警示的作用。
例如限制IP地址爲10.1.1.1的主機NAT的條目爲200條,配置如下:ip nat translation max-entries host 10.1.1.1 200如果想限制所有主機,使每臺主機的NAT條目爲200,可進行如下配置:ip nat translation max-entries all-host 200
以上我們總結了目前可用的限制bt(p2p軟件)的一些方法,具體採用哪種方法只能您根據自己網絡的狀況來定,當然也可以將幾種方法結合起來使用。
