路由器封PORT 問題

✔ 最佳答案

以下係 CISCO router 既封鎖 BT 方法, 某某有提供 100Mb 上網的公司都用緊改良左既方法三, 而封鎖 Foxy 同 Emule 都有相應既 PDLM:

3種方法封鎖BT下載
方法1:封鎖BT埠
　　大家都知道如果要限制某項服務,就要在路由器上設定ACL(訪問控制列表)將該服務所用的埠封掉,從而阻止該服務的正常執行.對BT軟體,我們可以嘗試封它的埠.一般情況下,BT軟體使用的是6880-6890埠,小金在公司的核心路由器上使用以下命令將6880-6890埠全部封鎖.

　　access-list 101 deny tcp any any range 6880 6890

　　access-list 101 deny tcp any range 6880 6890 any

　　access-list 101 permit ip any any

　　(注:缺點,由於BT埠變化較大,所以用ACL封埠收效甚微,而且配置條數多執行起來比較費勁,另外大量的ACL也佔用了路由器的CPU資源,影響了其他服務

　　優點:利用訪問控制列表ACL封鎖BT比較好管理,配置起來也很容易,使用相對而言比較靈活.通過ACL可以有效非常有效封鎖官方BT軟體)
方法2:封鎖BT伺服器

　　既然無法有效的從本地埠進行封鎖,那麼只好從遠端目標的位址入手.在進行BT下載時,本機首先要連接遠端的BT伺服器,從伺服器下載種子列表再連接相應的種子,所以小金從各大BT論壇下載BT種子,以便獲得BT伺服器的地址.啟動BITCOMET後選擇伺服器列表,在TRACKER伺服器處可以看到BT伺服器的位址,如(bt.ydy.com)接著通過NUSLOOKUP或者PING命令可以得到伺服器位址為202.103.X.X

　　(缺點:BT伺服器很多,要找到每個伺服器的IP位址然後進行封鎖非常麻煩,而且也容易漏掉某些伺服器,訪問控制列表只能封鎖IP位址不能封鎖功能變數名稱,對於IP位址經常變化的BT伺服器來說,封鎖是比較煩的.

　　優點:該方法能有效的封鎖大批的BT伺服器,網管通過簡單的管理伺服器IP位址就能封鎖禁止BT軟體的使用,對於自定義埠的BT軟體起到了非常有效的封鎖作用)

方法3:載入PDLM模組

　　使用CISCO公司出品的PDLM模組可以省去我們配置路由策略的工作,封鎖效果非常好.上文介紹的兩種方法.一個是對資料包使用的埠進行封鎖,一個是對資料包的目的地址進行封鎖,雖然在一定範圍內有效,但不能起到全面禁止BT的作用,通過PDLM+N BAR的方法來封鎖BT就存在這個問題了.

　　CISCO在其官方網站提供了三個PDLM模組,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢,在此我們就封鎖BT下載為例,

　　建立一個TFTP站點,將bittorrent.pdlm複製到該站點,在核心路由器中使用ip nbar pdlm tftp://TFTP站點的IP/bittorrent.pdlm命令載入bittorrent.pdlm模組

　　接下來設定路器策略,具體命令如下:

　　class-map match-any bit

　　//創建一個CLASS_MAP名為BIT

　　match protocol bittorrent

　　//要求符合模組bittorrent的標準!

　　policy-map limit-bit

　　//創建一個POLICY-MAP名為LIMIT-BIT

　　class bit

　　//要求符合剛才定義的名為BIT的CLASS-MAP

　　drop

　　//如果符合則丟資料包!

　　interface gigabitEthernet0/2

　　//進入網路出口那個介面

　　service-policy input limit-bit

　　//當有資料包進入時啟用LIMIT-BIT路由策略

　　service-policy output limit-bit

　　//當有資料包出的時候啟用LIMIT-BIT路由策略

　　通過NBAR載入PDLM模組法封鎖BT軟體後,小金已經完全斷絕了公司內部的BT使用,所有員工都能安心工作,網路速度也恢復到以前的穩定值了,

　　(缺點:該方法配置起來相對麻煩,指令非常多,而且路由器每次啟動都要重新指定PDLM檔,如果將PDLM檔上傳到路由器的FLASH中又會佔用不少空間,通過路由策略進行封鎖BT軟體的同時也會佔用路由器大量的CPU與記憶體的資源,影響了資料包的傳輸速度

　　優點:通過該方法可以徹底封鎖BT下載)

回答 (2)