IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 通過路由器設(shè)定來控制帶寬流量占用

通過路由器設(shè)定來控制帶寬流量占用

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(1)

??? BT是近年來比較熱門的基于P2P技術(shù)的分布式數(shù)據(jù)共享與傳播軟件,不同的人對這類應(yīng)用有不同的看法。支持的人說它完滿地體現(xiàn)了我為人人,人人為我的思想,任何一個人都可以在網(wǎng)絡(luò)上向別人提供自己的文檔或軟件下載,當(dāng)下載的人越多時它的下載的速度也越來越快;反對的人說它侵犯了軟件作者的版權(quán)以及耗費了大量的網(wǎng)絡(luò)帶寬,應(yīng)該給予禁止。不管人們對這個軟件的看法如何,作為一個主要從事教育的大學(xué)來講,首先要保護(hù)作者的知識產(chǎn)權(quán)不會受到侵犯,另外還要保證學(xué)校的網(wǎng)絡(luò)資源能夠被合理利用,以保障教學(xué)及其它應(yīng)用的正常開展。對任何一所大學(xué)來說它的網(wǎng)絡(luò)帶寬資源是十分寶貴的,但是BT軟件的使用耗費了大量的帶寬,使得原來一些需要保證的應(yīng)用受到影響,使用理論的說教往往不能使喜歡這類軟件的人放棄這種喜好,所以有必要對此類軟件從技術(shù)手段上進(jìn)行限制。下面來分析一下BT下載類軟件的工作原理,找到可以用來限制此類應(yīng)用的依據(jù),然后再進(jìn)行限制。

??? 首先BT類下載軟件一般使用的端口是固定的一個范圍,常用的范圍是:6881~6890,如果我們能夠在路由器中對這一段的端口進(jìn)行限制,就可以對此類軟件進(jìn)行限制了。但是也有一些BT軟件,可以自動更新端口。此類軟件有一個共同的特點是在工作時占用的帶寬很大,往往要超過正常的應(yīng)用,所以我們從兩個方面對此類軟件進(jìn)行限制:一個是限制它應(yīng)用的端口,一個是對異常的流量進(jìn)行限制。下面就這兩個方面進(jìn)行配置:

??? 一.使用基于類的路由策略進(jìn)行控制

??? 1.端口限制:

??? access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890

??? access-list 101 permit any any

??? 2.流量限制:

??? class-map match-all bt_updown

??? match access-group 101

??? policy-map drop-bt_updown

??? class bt_updown

??? police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop

??? 二.使用上述的基于類的策略在對付自動變更端口的BT類軟件時有些力不從心,

為此,CISCO路由器提供了專門的PDLM(Packet Description Language Module)包描述語言模塊從協(xié)議層上進(jìn)行對此類軟件使用的協(xié)議進(jìn)行了描述。因此,路由器可以對數(shù)據(jù)包使用的協(xié)議進(jìn)行分析,當(dāng)傳輸?shù)臄?shù)據(jù)包符合該協(xié)議的描述時路由器可以識別,配合相應(yīng)的類策略對數(shù)據(jù)進(jìn)行控制(如允許通過或丟棄等),從而根本上解決了動態(tài)端口的控制弊病。但是由于PDLM模塊屬于非公開資源,CISCO公司對該資源的下載和傳播進(jìn)行了嚴(yán)格的控制,必須具有CCO資格的路由器用戶方可下載使用。由于該PDLM不屬于路由器的啟動加載項,所以重新啟動路由器時,必須通過TFTP進(jìn)行進(jìn)行手動加載:

??? ip nbar pdlm tftp://192.168.100.2/bittorrent.pdlm? //bittorent.pdlm為下載的pdlm模塊文件名

??? class-map match-all bt_updown? //定義類bt_updown

???  match protocol bittorrent? //匹配bittorrent協(xié)議

??? policy-map limit-bt? //定義策略圖limit_bt

???  class bt_updown? //將類bt_updown加載到策略圖中作為觸發(fā)事件

??? police cir 240000 conform-action transmit exceed-action drop //定義符合和超載傳輸流大小為240000 bits

??? police cir 8000 conform-action transimit exceed-action drop

??? 在路由器相應(yīng)端口上加載服務(wù)策略:

???  service-policy input limit-bit? //限制下載,流入

???  service-policy output limit-bit? //限制上傳,流出

??? 2001年出現(xiàn)的尼姆達(dá)病毒(Nimda)、紅色代碼病毒均是蠕蟲病毒,這些病毒借助于網(wǎng)絡(luò)進(jìn)行傳播,傳播的速度快,對感染的計算機(jī)破壞強(qiáng)。用戶一旦感染了這種病毒,只要所處的網(wǎng)絡(luò)中存在有此類的病毒,一般情況下是很難清除的。這里不想對病毒的工作原理及如何清除這些病毒進(jìn)行過多的。

??? 論述,而主要討論這些病毒的網(wǎng)絡(luò)行為如何在路由器中被識別出來并且使用相應(yīng)的策略對這些數(shù)據(jù)包加以阻止或丟棄。

??? 尼姆達(dá)病毒在網(wǎng)絡(luò)中傳播的主要特征有:

??? 1、利用病毒宿主通過網(wǎng)絡(luò)短時間內(nèi)發(fā)送大量的含有"readme.exe"附件的"readme.eml"電子郵件;

??? 2、搜尋以前的IIS蠕蟲病毒留下的后門程序曾經(jīng)或已經(jīng)感染紅色代碼病毒(Code Red)并留下了病毒后門,尼姆達(dá)病毒就會利用后門程序進(jìn)行漏洞掃描;

??? 3、通過大量含有病毒的電子郵件的發(fā)送和掃描將導(dǎo)致網(wǎng)絡(luò)服務(wù)產(chǎn)生拒絕服務(wù)(DoS)。

??? 在分析尼姆達(dá)病毒的主要特征后,可以在路由器上有針對性進(jìn)行配置以防范和阻止尼姆達(dá)病毒的傳播:

??? a.阻塞端口

??? access-list 101 deny tcp any eq 25 any eq 25? //阻塞SMTP協(xié)議端口

??? access-list 101 deny tcp any eq 69 any eq 69? //阻塞TFTP端口

??? access-list 101 deny tcp any eq 135 any eq 135? //阻塞NetBIOS協(xié)議

??? access-list 101 deny tcp any eq 445 any eq 445? //阻塞NetBIOS協(xié)議

??? access-list 101 deny tcp any eq range 138 139 any range 138 139? //阻塞NetBIOS協(xié)議

??? access-list 101 permit any any

??? b.配置策略圖

??? class-map match-all nimda? //定義類nimda

??? match protocol http url "*.ida*"? //匹配HTTP協(xié)議中的url地址中含有.ida關(guān)鍵詞

??? match protocol http url "*cmd.exe*"? //匹配HTTP協(xié)議中的url地址中含有cmd.exe關(guān)鍵詞

??? match protocol http url "*root.exe*"? //匹配HTTP協(xié)議中的url地址中含有root.exe關(guān)鍵詞

??? match protocol http url "*readme.eml*"? //匹配HTTP協(xié)議中的url地址中含有readme.eml關(guān)鍵詞

??? policy-map block_nimda? //定義策略圖block_nimda

??? class nimda? //將類nimda加載到策略圖中作為觸發(fā)事件

??? police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定義路由器速率限制策略

??? 結(jié)束語:

上述所有基于QoS的路由器配置在思科2621XM路由器上測試通過。通過測試,不但可以明顯減輕BT、Nimda等病毒對網(wǎng)絡(luò)的沖擊和對網(wǎng)絡(luò)資源的大量消耗,保護(hù)正常計算機(jī)用戶對網(wǎng)絡(luò)資源的需求,同時也可以有效防止其他類似的網(wǎng)絡(luò)蠕蟲病毒的攻擊,實際價值非常明顯;但是如果你想將BT完全封掉,可以考慮購買專門的P2P限制軟件,國內(nèi)諸如聚生網(wǎng)管(http://www.grabsun.com)之類的網(wǎng)管軟件,在控制P2P方面非常不錯,可以將BT完全封掉;實際測試中,我們還發(fā)現(xiàn)思科的路由器在控制新興的P2P軟件方面不是十分有效,如迅雷(包括web迅雷),下載速度遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的P2P軟件,是當(dāng)前下載速度最快的P2P軟件,由于采用了多協(xié)議交叉下載的方式,所以通過規(guī)則匹配的效果不是十分明顯。在這方面聚生網(wǎng)管較為強(qiáng)悍,可以將迅雷完全封掉,在國內(nèi)還是比較領(lǐng)先的。

關(guān)鍵詞標(biāo)簽:路由器,帶寬,流量

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量