用戶瘋狂bt（p2p軟件）對(duì)網(wǎng)絡(luò)的使用造成了極大危害，目前常用的辦法是:

    方法1、采用Cisco公司的nbar來限制；

    配置步驟如下：

    ------------定義Class-map-------------；

    !

    class-map match-all bittorrent

    match protocol bittorrent

    class-map match-all edonkey

    match protocol edonkey

    !

    注意：如果match protocol命令里沒有bittorrent、edonkey選項(xiàng)，那么說明你的IOS版本還沒有包括此協(xié)議，此時(shí)你需要到Cisco網(wǎng)站上下載bittorrent.pdlm、edonkey.pdlm文件，上傳到路由器上，然后定義這種協(xié)議：

    ip nbar pdlm bittorrent.pdlm

    ip nbar pdlm edonkey.pdlm）

    ------------定義policy-map-------------；

    !

    policy-map limit-bt

    class bittorrent

    drop

    class edonkey

    drop

    !

    ------------應(yīng)用到接口上--------------；

    !

    interface f0/0

    service-policy input limit-bt

    service-policy output limit-bt

    !

    說明：這種方法使用后對(duì)一些p2p軟件確實(shí)起作用，但目前Cisco只定義了少數(shù)幾個(gè)協(xié)議（bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等），不能覆蓋所有的此類軟件，這有待于Cisco的繼續(xù)努力；

    方法2、采用ACL方法；

    我們可以采用以下方式來配置ACL，一種是開放所有端口，只限制bt的端口，配置如下；

    !

    access-list 101 deny tcp any any range 6881 6890

    access-list 101 deny tcp any range 6881 6890 any

    access-list 101 permit ip any any

    !

    說明：這種方法有其局限性，因?yàn)楝F(xiàn)在有的p2p軟件，端口可以改變，封鎖后會(huì)自動(dòng)改端口，甚至可以改到80端口，如果連這個(gè)也封，那網(wǎng)絡(luò)使用就無法正常工作了；

    另外一種方式是只開放有用的端口，封閉其他所有端口；

    !

    access-list 101 permit tcp any any eq 80

    access-list 101 permit tcp any any eq 25

    access-list 101 permit tcp any any eq 110

    access-list 101 permit tcp any any eq 53

    access-list 101 deny ip any any

    !

    說明：此方法是對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格的控制，對(duì)簡(jiǎn)單的小型網(wǎng)絡(luò)還可行，而如果是大型網(wǎng)絡(luò)，數(shù)據(jù)流量又很復(fù)雜那么管理的難度將非常大；

    還有一種方式是對(duì)端口是3000以上的流量進(jìn)行限速；因?yàn)槎鄶?shù)蠕蟲病毒和p2p的端口都是大于3000的，當(dāng)然也有正常的應(yīng)用是采用3000以上的端口，如果我們將3000以上的端口封閉，這樣正常的應(yīng)用也無法開展，所以折中的方法是對(duì)端口3000以上的數(shù)據(jù)流進(jìn)行限速，例如：

    ------------定義Class-map--------------；

    !

    class-map match-all xs

    match access-group 101

    !

    ------------定義policy-map-------------；

    policy-map xs

    class xs

    police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop

    !

    ------------定義ACL--------------------；

    !

    access-list 101 permit tcp any any gt 3000

    access-list 101 permit udp any any gt 3000

    !

    ------------應(yīng)用到接口上---------------；

    interface f0/0

    service-policy input xs

    !

    方法3、采用NAT的單用戶連接數(shù)限制；

    在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制，即可以對(duì)做地址轉(zhuǎn)換的單個(gè)IP限制其NAT的表項(xiàng)數(shù)，因?yàn)閜2p類軟件如bt的一大特點(diǎn)就是同時(shí)會(huì)有很多的連接數(shù)，從而占用了大量的NAT表項(xiàng)，因此應(yīng)用該方法可有效限制bt的使用，比如我們?yōu)镮P 10.1.1.1設(shè)置最大的NAT表項(xiàng)數(shù)為200；正常的網(wǎng)絡(luò)訪問肯定夠用了，但如果使用bt，那么很快此IP的NAT表項(xiàng)數(shù)達(dá)到200，一旦達(dá)到峰值，該IP的其他訪問就無法再進(jìn)行NAT轉(zhuǎn)換，必須等待到NAT表項(xiàng)失效后，才能再次使用，這樣有效的保護(hù)了網(wǎng)絡(luò)的帶寬，同時(shí)也達(dá)到了警示的作用，

多種限制BT的方法

電腦資料

    例如限制IP地址為10.1.1.1的主機(jī)NAT的條目為200條，配置如下：

    ip nat translation max-entries host 10.1.1.1 200

    如果想限制所有主機(jī)，使每臺(tái)主機(jī)的NAT條目為200，可進(jìn)行如下配置：

    ip nat translation max-entries all-host 200

    方法4、采用專用的服務(wù)控制設(shè)備；

    由于現(xiàn)在越來越多的用戶不僅僅關(guān)注于網(wǎng)絡(luò)的聯(lián)通性，他們把更多的注意力投向了服務(wù)的控制，所以現(xiàn)在涌現(xiàn)出了一些專門的用于服務(wù)控制的設(shè)備，這些設(shè)備主要是通過硬件的引擎來實(shí)現(xiàn)Qos的控制，因此效率比通過軟件實(shí)現(xiàn)要高很多。比如Cisco的SCE設(shè)備就可以實(shí)現(xiàn)對(duì)BT的控制。

    以上我們總結(jié)了目前可用的限制bt（p2p軟件）的一些方法，具體采用哪種方法只能您根據(jù)自己網(wǎng)絡(luò)的狀況來定，當(dāng)然也可以將幾種方法結(jié)合起來使用。