路由器封P2P的终极方案

jxsf

最近为了封BT，几乎把网络上的论坛找遍了，呵呵，实验了几种方法，得出几个结论(说实话，也就是把网上的方法总结小小一把)，

3 r# O) y9 q) ]% Q! i5 ^+ N　　第一是常用的封端口的方法:

　　呵呵，常用的命令如下:

　　1禁止∶

　　access-list 102 deny tcp any any range 6881 6890
9 g0 ~5 B/ q$ m9 I' T5 Z
　　access-list 102 deny tcp any range 6881 6890 any
& @& o$ o5 B* A. g" z
　　access-list 102 permit ip any any

　　这种方法有其局限性，一是现在有的bt软件，再封锁后会自动改端口二是我仔细研究过好几个BT下载软件，它们现在的announce端口现在已经用8000、8080的说，如果连这个也封，那网络使用就有可能不正常(我这样做过，呵呵，后来N多人打电话找我，吓得我马上DEL掉了)

　　第二种方法:就是用NBAR (Network-Based Application Recognition)网络应用识别

　　NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.

( C& S! S9 q5 \, k1 P; C　　An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。(具体我也翻译不出来，只看了个大概)，

( P4 E' J& I8 J' }　　我就说说过程:

' P' @3 [7 P" R# W" t8 D, [　　1到http://www.cisco.com/pcgi-bin/table...ttorrent.pdlm，(要CCO的)
6 Z# L- F+ m0 e
　　2放到TFTP，然后用copy tftp disk2(大多数应该是flash)

$ |& D  t1 G. E6 z  ~$ N　　#show runn

- b; ^6 O9 G+ z- U. Y% U( ?　　得到关于BT的部分是
2 B1 N  j$ `- g6 R2 W
　　class-map match-all bittorrent

9 Y3 l" C0 S0 e　　match protocol bittorrent
% K: d4 w% \7 G1 B" X1 s
　　!

　　!
" S9 u6 n9 o0 ^! `( Z5 }
* ?( F& [& z; U5 R　　policy-map bittorrent-policy

　　class bittorrent
& `+ |' F" l, x' i: V& L+ b0 b- G
　　drop

* G0 W. K  r% K5 O9 Q- k5 u0 f　　!

7 o6 m% R0 b8 W) ~　　interface GigabitEthernet0/2

) D/ C2 p0 H2 V. ~% w* Y. ^8 F* z　　description CONNECT INSIDE

2 x6 _# m* q- Y- Q" S0 \　　ip address 192.168.168.1 255.255.255.252 secondary

　　ip address 192.168.21.1 255.255.255.0

　　ip nat inside

0 ~( {( ^. y( t" `　　service-policy input bittorrent-policy

　　service-policy output bittorrent-policy
/ V/ V( w8 |- e5 W2 X3 F
9 G" |4 b9 W/ Z; G  D% g/ Q　　duplex full
4 R" \! D' O3 s& u& ?
2 c) a1 x* t( c- f4 P- P0 o　　speed 1000
% M% j& B& V4 }! z! i
　　media-type rj45
/ i: y' `& z% m1 x1 I; x7 L( N
" D2 q9 ^4 n% T0 ]　　no negotiation auto
& b/ l. k- x' q9 ^0 ~
　　对于EMULE,最新version2.0的包括了emule,可我实验了一下,的确可以
1 ~3 E' R4 y7 F9 L$ M  c
) J7 ^- A- c2 W( V: v1 ]　　ip nbar pdlm bittorrent.pdlm
& h. w5 q# _) [8 a% Q
　　ip nbar pdlm eDonkey.pdlm
5 a/ S' [# a1 x! @
　　class-map match-any bittorrent
  w* j4 B2 s: M6 P
　　match protocol bittorrent
! e. K0 B5 J4 s1 C1 S
4 T/ f6 _- T! R4 c　　match protocol edonkey

　　!

　　!

　　policy-map bittorrent-policy

  c8 \* I1 v1 P$ y! {7 U　　class bittorrent
7 T3 z4 D! v" A, b
　　drop

7 [- D- P  i" s$ A9 C　　!
* J  Y0 |; C! M4 e# X
! t- {0 L7 C5 W5 A　　这样的话,Emule也能K掉了,呵呵 :)

YINDONG411

我们都是直接在三层交换机上限制流量。不用动路由。
) g) W) R0 r3 X% g9 x: A# B给每个端口10k 流量， 看网页 够了吧。