網絡上有很多解決方案�����,綜合起來就是下面兩種
第一種方法是在路由器上封BT常用端口
大家都知道如果要限制某項服務�,就要在路由器上設置ACL(訪問控制列表)將該服務所用的端口封掉�,從而阻止該服務的正常運行。對BT軟件��,我們可以嘗試封它的端口�����。一般情況下��,BT軟件使用的是6880-6890端口,在公司的核心路由器上使用以下命令將6880-6890端口全部封鎖����。
命令如下:
限速∶
access-list 130 remark btaccess-list 130 permit tcp any any range 6881 6890access-list 130 permit tcp any range 6881 6890 anyrate-limit input access-group 130 712000 8000 8000 conform-action transmit exceed-action droprate-limit output access-group 130 712000 8000 8000 conform-action transmit exceed-action drop
禁止下載∶
access-list 130 deny tcp any any range 6881 6890 access-list 130 deny tcp any range 6881 6890 anyip access-group 130 in / out
不過現在的bt軟件,再封鎖后會自動改端口�,一些軟件還是用到8000、8080��、2070等端口�,限制這些端口這樣網絡不正常!
第二種方法是使用NVAR(Network-Based Application Recognition��,網絡應用識別)
NBAR (Network-Based Application Recognition) 的意思是網絡應用識別�。 NBAR 是一種動態能在四到七層尋找協議的技術,它不但能做到普通 ACL 能做到那樣控制靜態的���、簡單的網絡應用協議 TCP/UDP 的端口號�。例如我們熟知的 WEB 應用使用的 TCP 80 ����,也能做到控制一般 ACLs 不能做到動態的端口的那些協議,例如 VoIP 使用的 H.323����, SIP 等�。
要實現對 BT 流量的控制����,就要在思科路由器上實現對 PDLM 的支持�。 PDLM 是 Packet Description Language Module 的所寫,意思是數據包描述語言模塊��。它是一種對網絡高層應用的協議層的描述�,例如協議類型,服務端口號等����。它的優勢是讓 NBAR 適應很多已有的網絡應用,像 HTTP URL ���, DNS ���, FTP, VoIP 等 �, 同時它還可以通過定義,來使 NBAR 支持許多新興的網絡應用���。例如 peer2peer 工具���。 PDLM 在思科的網站上可以下載�,并且利用 PDLM 可以限制一些網絡上的惡意流量�����。
要得到 PDLM �,要到 http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下載 bittorrent.pdlm .
CISCO在其官方網站提供了三個PDLM模塊,分別為KAZAA2.pdlm��,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA����,BT,電驢
得到 PDLM 然后通過 TFTP 服務器將 bittorrent.pdlm 拷貝到路由中���。利用
ip nbar pdlm bittorrent.pdlm
命令將 NBAR 中的 BT 功能啟動�。
再創建一個 class-map 和 policy map 并且把它應用到相應的路由器的接口上���。一般是 連接 Internet (Chinanet ) 的接口是 FastEthernet 或 10M 的以太網接口�。在路由器上您可以看見如下的配置 :
