思科路由器如何限速的问题中,大家都知道如果要限制某项服务,就要在路由器设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。对BT软件,我们可以尝试封它的端口。一般情况下,BT软件使用的是6880-6890端口,在公司的核心思科路由器上使用以下命令将6880-6890端口全部封锁。
路由器设置限速:
- access-list130remarkbt
- access-list130permittcpanyanyrange68816890
- access-list130permittcpanyrange68816890any
- rate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
- rate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop
路由器设置禁止下载:
- access-list130denytcpanyanyrange68816890
- access-list130denytcpanyrange68816890any
- ipaccess-group130in/out
不过现在的bt软件,再封锁后会自动改端口,一些软件还是用到8000、8080、2070等端口,限制这些端口这样网络不正常!第二种方法是使用:NVAR(Network-BasedApplicationRecognition,网络应用识别)。
NBAR(Network-BasedApplicationRecognition)的意思是网络应用识别。NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP的端口号。例如我们熟知的WEB应用使用的TCP80,也能做到控制一般ACLs不能做到动态的端口的那些协议,例如VoIP使用的H.323,SIP等。
要实现对BT流量的控制,就要在思科路由器上实现对PDLM的支持。PDLM是PacketDescriptionLanguageModule的所写,意思是数据包描述语言模块。它是一种对网络高层应用的协议层的描述,例如协议类型,服务端口号等。它的优势是让NBAR适应很多已有的网络应用,像HTTPURL,DNS,FTP,VoIP等,同时它还可以通过定义,来使NBAR支持许多新兴的网络应用。例如peer2peer工具。
PDLM在思科的网站上可以下载,并且利用PDLM可以限制一些网络上的恶意流量。CISCO在其官方网站提供了三个PDLM模块,分别为KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用来封锁KAZAA,BT,电驴得到PDLM然后通过TFTP服务器将bittorrent.pdlm拷贝到路由中。
功能启动利用ipnbarpdlmbittorrent.pdlm命令将NBAR中的BT。再创建一个class-map和policymap并且把它应用到相应的思科路由器的接口上。一般是连接Internet(Chinanet)的接口是FastEthernet或10M的以太网接口。在思科路由器上您可以看见如下的配置:
- class-mapmatch-allbittorrent
- matchprotocolbittorrent
- !
- !
- policy-mapbittorrent-policy
- classbittorrent
- drop
- !
- interfaceFastEthernet0/
- descriptionneibujiekou
- ipaddress192.168.0.1255.255.255.0
- ipnatinside
- service-policyinputbittorrent-policy
- service-policyoutputbittorrent-policy
- !
路由器设置限速的步骤到此就忘了,这样您就可以在你的公司或单位的因特网接入思科路由器上实施一些流量控制。同时NBAR和PDLM还可以应用在您公司和单位的内联广域网上,可以保证广域网带宽的合理使用,思科路由器如何限速的问题得以解决,按照上面的步骤实验一下吧。
