BT軟件的出現,使得網絡帶寬變得不夠用了。據國際互聯網流量監控公司的最新統計, BT、KAZAA、EMULE等P2P軟件所用端口的數據流量已經超過了傳統的HTTP 80端口,這表明目前互聯網帶寬已經被P2P軟件侵吞,而HTTP浏覽已經讓出了第一把交易。
小金所在公司的網絡組最近在商量限制BT下載,因為帶寬就是成本,就是金錢,不能被BT下載隨意占用。這項艱巨的任務就落在了網管的肩上。
方法1:封鎖BT端口
大家都知道如果要限制某項服務,就要在路由器上設置ACL(訪問控制列表)將該服務所用的端口封掉,從而阻止該服務的正常運行。對BT軟件,我們可以嘗試封它的端口。一般情況下,BT軟件使用的是6880到6890端口,小金在公司核心路由器上使用以下命令將6880到6890端口封鎖。
access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890 any
access-list 101 permit ip any any
接著進入相應的端口,輸入“ip access-group 101 out”使訪問控制列表生效。配置之後,網絡帶寬就會馬上釋放出來,網絡速度得到提升(圖1)。Tw.wINGwIT.Com
圖1
但是,沒過幾天網絡速度又減慢了。BT軟件的端口明明都被封鎖了,什麼軟件還在占用大量帶寬呢?小金使用SNIFFER檢測到幾個不常用的端口的數據流量非常大。原來,很多員工使用第三方的BT軟件(如比特精靈、BITCOMET)進行下載。這些軟件可以自定義傳輸數據的端口,網內員工將傳輸數據的端口修改為沒有被封鎖的端口後又可以進行BT下載了。
缺點:由於BT端口變化較大,所以用ACL封端口收效甚微,而且配置條數多執行起來比較費勁,另外大量的ACL也占用了路由器的CPU資源,影響了其他服務。
優點:利用訪問控制列表ACL封鎖BT比較好管理,配置起來也很容易,使用起來相對靈活。通過ACL可以非常有效地封鎖官方BT軟件。
方法2:封鎖BT服務器
既然無法有效地從本地端口進行封鎖,那麼只好從遠程目標的地址入手了。在進行BT下載時,本機首先要連接遠端的BT服務器,從服務器上下載種子列表再連接相應的種子,所以小金到各大BT交流論壇下載BT種子,以便獲得BT服務器的地址。
啟動BITCOMET後選擇“服務器列表”,在tracker服務器處就可看到BT服務器的地址(圖2)。接著通過NUSLOOKUP或PING命令得到bt.ydy.com的IP地址為202.103.×.×(圖3)。
圖2
圖3
獲得了BT服務器的IP地址後就可以到核心路由器上對該地址進行封鎖了。具體命令為“access-list 102 deny tcp any 202.103.9.83 0.0.0.0”。
最後小金在網絡出口端口上運行“ip access-group 102 out”命令,使該訪問控制列表生效。這樣網內用戶就不能訪問這個BT服務器了,同時該服務器提供的所有BT種子都無法使用。接下來,小金收集了很多BT服務器的IP地址,將它們一一添加到控制列表“102”裡。看著公司員工啟動第三方BT軟件後連接種子數為0,下載速度為0的情形,終於松了一口氣。
沒有多久,公司的網絡再次出現了運行緩慢的情況。小金通過監控系統發現又有人在使用BITCOMET下載電影,雖然下載速度不如從前,但仍占用了相當大的帶寬。是什麼原因使用戶又能連接BT服務器呢?原來,在訪問控制列表中使用的是IP地址進行過濾,而一旦BT服務器的IP地址發生了改變,針對IP地址的封鎖就無效了。
缺點:BT服務器很多,要找到每個服務器的IP地址然後進行封鎖非常麻煩,而且也容易漏掉某些服務器。訪問控制列表只能封鎖IP地址不能封鎖域名,對於IP地址經常變化的BT服務器來說,封鎖是非常困難的。
優點:該方法能有效地封鎖大批的BT服務器,網管通過簡單的管理服務器IP地址就能輕松禁止BT軟件的使用,對於自定義端口的BT軟件起到了非常有效的封鎖作用。
方法3:加載PDLM模塊
使用CISCO公司出品的PDLM模塊可以省去我們配置路由策略的工作,封鎖效果非常好。上文所介紹的兩個方法,一個是對數據包使用的端口進行封鎖,另一個是對數據包的目的地址進行封鎖,雖然在一定范圍內有效,但不能起到全面禁止BT的作用。通過“PDLM+NBAR”的方法來封鎖BT就不存在這個問題了。
CISCO在其官方網站提供了三個PDLM模塊(圖4),分別為kazaa2.pdlm、bittorrent.pdlm、edonkey.pdlm,可以用它們來封鎖KAZAA、BT、電驢。在此,我們以限制BT下載為例。
圖4
建立一個TFTP站點。將bittorrent.pdlm復制到該站點。在核心路由器中使用“ip nbar pdlm tftp://TFTP站點的IP/bittorrent.pdlm”命令加載bittorrent.pdlm模塊。
接下來,設置路由策略。具體命令如下:
class-map match-any bit
//創建一個CLASS-MAP名為BIT
match protocol bittorrent
//要求符合模塊bittorrent的標准
!
policy-map limit-bit
//創建一個POLICY-MAP名為limit-bit
class bit
//要求符合剛才定義的名為BIT的class-map
drop
//如果符合則丟棄數據包
!
interface GigabitEthernet0/2
//進入網絡出口那個接口
service-policy input limit-bit
//當有數據包進入時啟用limit-bit路由策略
service-policy output limit-bit
//當有數據包出的時候啟用limit-bit路由策略
如果不想每次啟動路由器時都要手工加載TFTP上的bittorrent.pdlm,可以把這個PDLM文件上傳到路由器的FLASH中,然後選擇TFTP服務器的IP地址即可。
提示:封鎖KAZAA或EDONKEY時,在路由器配置中將“match protocol”後的“bittorrent”替換為“kazaa2”或“edonkey”即可,其他配置和封鎖BT一樣,在此就不作詳細介紹了。
通過NBAR加載PDLM模塊法封鎖BT軟件後,小金已經完全斷絕了公司內部的BT使用,所有員工在上班時間都能安心工作,網絡速度也恢復到以前的穩定值。
缺點:該方法配置起來相對麻煩,指令非常多,而且路由器每次重新啟動後都要重新指定PDLM文件,如果將PDLM文件上傳到路由器的FLASH中又會占用不少空間。通過路由策略進行封鎖BT軟件的同時也會占用路由器大量的CPU與內存資源,影響了數據包的傳輸速度。
優點:通過該方法可以徹底封鎖BT下載。
From:http://tw.wingwit.com/Article/Network/201309/1089.html