網(wǎng)絡上有很多解決方案,綜合起來就是下面兩種
第一種方法是在路由器上封BT常用端口
大家都知道如果要限制某項服務����,就要在路由器上設置ACL(訪問控制列表)將該服務所用的端口封掉���,從而阻止該服務的正常運行�����。對BT軟件��,我們可以嘗試封它的端口�����。一般情況下����,BT軟件使用的是6880-6890端口,在公司的核心路由器上使用以下命令將6880-6890端口全部封鎖����。
命令如下:
限速∶
access-list 130 remark btaccess-list 130 permit tcp any any range 6881 6890access-list 130 permit tcp any range 6881 6890 anyrate-limit input access-group 130 712000 8000 8000 conform-action transmit exceed-action droprate-limit output access-group 130 712000 8000 8000 conform-action transmit exceed-action drop
禁止下載∶
access-list 130 deny tcp any any range 6881 6890 access-list 130 deny tcp any range 6881 6890 anyip access-group 130 in / out
不過現(xiàn)在的bt軟件,再封鎖后會自動改端口��,一些軟件還是用到8000����、8080�����、2070等端口�,限制這些端口這樣網(wǎng)絡不正常!
第二種方法是使用NVAR(Network-Based Application Recognition���,網(wǎng)絡應用識別)
NBAR (Network-Based Application Recognition) 的意思是網(wǎng)絡應用識別����。 NBAR 是一種動態(tài)能在四到七層尋找協(xié)議的技術,它不但能做到普通 ACL 能做到那樣控制靜態(tài)的�、簡單的網(wǎng)絡應用協(xié)議 TCP/UDP 的端口號�。例如我們熟知的 WEB 應用使用的 TCP 80 ,也能做到控制一般 ACLs 不能做到動態(tài)的端口的那些協(xié)議����,例如 VoIP 使用的 H.323, SIP 等���。
要實現(xiàn)對 BT 流量的控制,就要在思科路由器上實現(xiàn)對 PDLM 的支持�。 PDLM 是 Packet Description Language Module 的所寫���,意思是數(shù)據(jù)包描述語言模塊�����。它是一種對網(wǎng)絡高層應用的協(xié)議層的描述�,例如協(xié)議類型���,服務端口號等�����。它的優(yōu)勢是讓 NBAR 適應很多已有的網(wǎng)絡應用���,像 HTTP URL ��, DNS ��, FTP��, VoIP 等 , 同時它還可以通過定義����,來使 NBAR 支持許多新興的網(wǎng)絡應用。例如 peer2peer 工具��。 PDLM 在思科的網(wǎng)站上可以下載����,并且利用 PDLM 可以限制一些網(wǎng)絡上的惡意流量。
要得到 PDLM �����,要到 http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下載 bittorrent.pdlm .
CISCO在其官方網(wǎng)站提供了三個PDLM模塊,分別為KAZAA2.pdlm����,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA����,BT,電驢
得到 PDLM 然后通過 TFTP 服務器將 bittorrent.pdlm 拷貝到路由中���。利用
ip nbar pdlm bittorrent.pdlm
命令將 NBAR 中的 BT 功能啟動����。
再創(chuàng)建一個 class-map 和 policy map 并且把它應用到相應的路由器的接口上�����。一般是 連接 Internet (Chinanet ) 的接口是 FastEthernet 或 10M 的以太網(wǎng)接口�����。在路由器上您可以看見如下的配置 :
