|
上有很多解决方案,综合起来就是下面两种
第一种方法是在器上封BT常用端口
大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。对BT软件,我们可以尝试 封它的端口。一般情况下,BT软件使用的是6880-6890端口,在公司的核心器上使用以下命令将6880-6890端口全部封锁。
命令如下:
限速∶
access-list 130 remark bt
access-list 130 permit tcp any any range 6881 6890
access-list 130 permit tcp any range 6881 6890 any
rate-limit input access-group 130 712000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 130 712000 8000 8000 conform-action transmit exceed-action drop
禁止下载∶
access-list 130 deny tcp any any range 6881 6890
access-list 130 deny tcp any range 6881 6890 any
ip access-group 130 in / out
不过现在的bt软件,再封锁后会自动改端口,一些软件还是用到8000、8080、2070等端口,限制这些端口这样不正常!
第二种方法是使用NVAR(Network-Based Application Recognition,应用识别)
NBAR (Network-Based Application Recognition) 的意思是网络应用识别。 NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通 ACL 能做到那样控制静态的、简单的应用协议 TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80 ,也能做到控制一般 ACLs 不能做到动态的端口的那些协议,例如 VoIP 使用的 H.323, SIP 等。
要实现对 BT 流量的控制,就要在思科器上实现对 PDLM 的支持。 PDLM 是 Packet Deription Language Module 的所写,意思是数据包描述语言模块。它是一种对网络高层应用的协议层的描述,例如协议类型,服务端口号等。它的优势是让 NBAR 适应很多已有的网络应用,像 HTTP URL , DNS , FTP, VoIP 等 , 同时它还可以通过定义,来使 NBAR 支持许多新兴的网络应用。例如 peer2peer 工具。 PDLM 在思科的网站上可以下载,并且利用 PDLM 可以限制一些上的恶意流量。
要得到 PDLM ,要到 http://www.cio.com/pcgi-bin/tablebuild.pl/pdlm 下载 bittorrent.pdlm .
CI |
|