方法1:封鎖BT端口
大家都知道如果要限制某項服務(wù),就要在路由器上設(shè)置ACL(訪問控制列表)將該服務(wù)所用的端口封掉,從而阻止該服務(wù)的正常運(yùn)行.對BT軟件,我們可以嘗試封它的端口.一般情況下,BT軟件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令將6880-6890端口全部封鎖.
access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890
access-list 101 permit ip any any
接著進(jìn)入相應(yīng)的端口,輸入ip access-group 101 out 使訪問控制列表生效.配置之后,網(wǎng)絡(luò)帶寬就會馬上釋放出來,網(wǎng)絡(luò)速度得到提升.
但是,沒過幾天網(wǎng)絡(luò)速度又減慢了,BT軟件的端口明明被封了,什么軟件還在占用大量的帶寬呢,小金使用SNIFFER檢測到幾個不常用的端口的數(shù)據(jù)流量非常大,原來很多人使用第三方的BT軟件(如比特精靈,BITCOMET)進(jìn)行下載,這些軟件可以自定義 傳輸數(shù)據(jù)的端口,修改為沒有被封的端口后又可以進(jìn)行BT下載了.

(缺點:由于BT端口變化較大,所以用ACL封端口收效甚微,而且配置條數(shù)多執(zhí)行起來比較費勁,另外大量的ACL也占用了路由器的CPU資源,影響了其它服務(wù).
優(yōu)點:利用訪問控制列表ACL封鎖BT比較好管理,配置起來也很容易,使用相對而言比較靈活.通過ACL可以有效非常有效封鎖官方BT軟件)

方法2:封鎖BT服務(wù)器
既然無法有效的從本地端口進(jìn)行封鎖,那么只好從遠(yuǎn)程目標(biāo)的地址入手.在進(jìn)行BT下載時,本機(jī)首先要連接遠(yuǎn)端的BT服務(wù)器,從服務(wù)器下載種子列表再連接相應(yīng)的種子,所以小金從各大BT論壇下載BT種子,以便獲得BT服務(wù)器的地址.啟動BITCOMET后選擇 服務(wù)器列表,在TRACKER服務(wù)器處可以看到BT服務(wù)器的地址,如(bt.ydy.com)接著通過NUSLOOKUP或者PING命令可以得到服務(wù)器地址為202.103.X.X
獲得服務(wù)器地址后就可以到核心服務(wù)器上對該地址進(jìn)行封鎖.具體命令為:access-list 102 deny tcp any 202.103.9.83 0.0.0.0
最后小金在網(wǎng)絡(luò)出口端口上運(yùn)行ip access-group 102 out 命令后,使該訪問控制列表生效,這樣網(wǎng)內(nèi)用戶就不能訪問這個BT服務(wù)器了,同時該服務(wù)器提供的所有BT種子都無法使用,接下來,收信更多的的BT服務(wù)器的IP地址,將它們一一添加到控制列表102里,看著員工啟動第三方的BT軟件后連接種子數(shù)為0,下載速 度也為0的時候,終于松了一口氣.
沒過多久,公司再次出現(xiàn)網(wǎng)絡(luò)運(yùn)行緩慢的問題,小金通過監(jiān)控系統(tǒng)發(fā)現(xiàn)又有人通過BITCOMET下載電影,雖然速度不如從前,但仍占用了相當(dāng)大的帶寬,是什么原因使用戶又可以連接BT服務(wù)器呢,原來,在訪問列表中使用的IP地址進(jìn)行過濾,而一旦BT服務(wù)器的 IP地址發(fā)生了變化,針對IP地址的封鎖就沒有用了.

(缺點:BT服務(wù)器很多,要找到每個服務(wù)器的IP地址然后進(jìn)行封鎖非常麻煩,而且也容易漏掉某些服務(wù)器,訪問控制列表只能封鎖IP地址不能封鎖域名,對于IP地址經(jīng)常變化的BT服務(wù)器來說,封鎖是比較煩的.
優(yōu)點:該方法能有效的封鎖大批的BT服務(wù)器,網(wǎng)管通過簡單的管理服務(wù)器IP地址就能封鎖禁止BT軟件的使用,對于自定義端口的BT軟件起到了非常有效的封鎖作用)

方法3:加載PDLM模塊
使用CISCO公司出品的PDLM模塊可以省去我們配置路由策略的工作,封鎖效果非常好.上文介紹的兩種方法.一個是對數(shù)據(jù)包使用的端口進(jìn)行封鎖,一個是對數(shù)據(jù)包的目的地址進(jìn)行封鎖,雖然在一定范圍內(nèi)有效,但不能起到全面禁止BT的作用,通過PDLM+N BAR的方法來封鎖BT就存在這個問題了.
CISCO在其官方網(wǎng)站提供了三個PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢,在此我們就封鎖BT下載為例,
建立一個TFTP站點,將bittorrent.pdlm復(fù)制到該站點,在核心路由器中使用ip nbar pdlm tftp://TFTP站點的IP/bittorrent.pdlm命令加載bittorrent.pdlm模塊
接下來設(shè)置路器策略,具體命令如下:
class-map match-any bit
//創(chuàng)建一個CLASS_MAP名為BIT
match protocol bittorrent
//要求符合模塊bittorrent的標(biāo)準(zhǔn)!
policy-map limit-bit
//創(chuàng)建一個POLICY-MAP名為LIMIT-BIT
class bit
//要求符合剛才定義的名為BIT的CLASS-MAP
drop
//如果符合則丟數(shù)據(jù)包!
interface gigabitEthernet0/2
//進(jìn)入網(wǎng)絡(luò)出口那個接口
service-policy input limit-bit
//當(dāng)有數(shù)據(jù)包進(jìn)入時啟用LIMIT-BIT路由策略
service-policy output limit-bit
//當(dāng)有數(shù)據(jù)包出的時候啟用LIMIT-BIT路由策略
如果不想每次啟動路由器的都要手工加載TFTP上的bittorrent.pdlm,可以把這個PDLM文件上傳到路由器的FLASH中,然后選擇TFTP服務(wù)器的IP地址即可.提示:封鎖KAZAA或者是EDonKEY時,在路由器配置中將"match protocol后的bittorrent替換為KAZAA2或者EDonKEY即可,其它配置和封鎖BT一樣,通過NBAR加載PDLM模塊法封鎖BT軟件后,小金已經(jīng)完全斷絕了公司內(nèi)部的的BT使用,所有員工都能安心工作,網(wǎng)絡(luò)速度也恢復(fù)到以前的穩(wěn)定值了.

(缺點:該方法配置起來相對麻煩,指令非常多,而且路由器每次啟動都要重新指定PDLM文件,如果將PDLM文件上傳到路由器的FLASH中又會占用不少空間,通過路由策略進(jìn)行封鎖BT軟件的同時也會占用路由器大量的CPU與內(nèi)存的資源,影響了數(shù)據(jù)包的傳輸速度.
優(yōu)點:通過該方法可以徹底封鎖BT下載)