广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

方法1:封锁bt端口
　　大家都知道如果要限制某项服务,就要在路由器上设置acl(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行.对bt软件, 我们可以尝试封它的端口.一般情况下,bt软件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令将6880-6890端口全部封锁.
　　access-list 101 deny tcp any any range 6880 6890
　　access-list 101 deny tcp any range 6880 6890 any
　　access-list 101 permit ip any any
　　接着进入相应的端口,输入ip access-group 101 out 使访问控制列表生效.配置之后,网络带宽就会马上释放出来,网络速度得到提升.
　　但是,没过几天网络速度又减慢了,bt软件的端口明明被封了,什么软件还在占用大量的带宽呢,小金使用sniffer检测到几个不常用的端口的数据流量非常大,原来很多人使用第三方的bt软件(如比特精灵,bitcomet)进行下载,这些软件可以自定义传输数据的端口,修改为没有被封的端口后又可以进行bt下载了.
　　(注:缺点,由于bt端口变化较大,所以用acl封端口收效甚微,而且配置条数多执行起来比较费劲,另外大量的acl也占用了路由器的cpu资源,影响了其它服务
　　优点:利用访问控制列表acl封锁bt比较好管理,配置起来也很容易,使用相对而言比较灵活.通过acl可以有效非常有效封锁官方bt软件)
方法2:封锁bt服务器
　　既然无法有效的从本地端口进行封锁,那么只好从远程目标的地址入手.在进行bt下载时,本机首先要连接远端的bt服务器,从服务器下载种子列表再连接相应的种子,所以小金从各大bt论坛下载bt种子,以便获得bt服务器的地址.启动bitcomet后选择服务器列表,在tracker服务器处可以看到bt服务器的地址,如(bt.ydy.com)接着通过nuslookup或者ping命令可以得到服务器地址为202.103.x.x
　　获得服务器地址后就可以到核心服务器上对该地址进行封锁.具体命令为:access-list 102 deny tcp any 202.103.9.83 0.0.0.0
　　最后小金在网络出口端口上运行ip access-group 102 out 命令后,使该访问控制列表生效,这样网内用户就不能访问这个bt服务器了,同时该服务器提供的所有bt种子都无法使用,接下来,收信更多的的bt服务器的 ip地址,将它们一一添加到控制列表102里,看着员工启动第三方的bt软件后连接种子数为0,下载速 度也为0的时候,终于松了一口气.
　　没过多久,公司再次出现网络运行缓慢的问题,小金通过监控系统发现又有人通过bitcomet下载电影,虽然速度不如从前,但仍占用了相当大的带宽,是什么原因使用户又可以连接bt服务器呢,原来,在访问列表中使用的ip地址进行过滤,而一旦bt服务器的 ip地址发生了变化,针对ip地址的封锁就没有用了
　　(缺点:bt服务器很多,要找到每个服务器的ip地址然后进行封锁非常麻烦,而且也容易漏掉某些服务器,访问控制列表只能封锁ip地址不能封锁域名,对于ip地址经常变化的bt服务器来说,封锁是比较烦的.
　　优点:该方法能有效的封锁大批的bt服务器,网管通过简单的管理服务器ip地址就能封锁禁止bt软件的使用,对于自定义端口的bt软件起到了非常有效的封锁作用)
方法3:加载pdlm模块
　　使用cisco公司出品的pdlm模块可以省去我们配置路由策略的工作,封锁效果非常好.上文介绍的两种方法.一个是对数据包使用的端口进行封锁,一个是对数据包的目的地址进行封锁,虽然在一定范围内有效,但不能起到全面禁止bt的作用,通过pdlm+n bar的方法来封锁bt就存在这个问题了.
　　cisco在其官方网站提供了三个pdlm模块,分别为kazaa2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用来封锁kazaa,bt,电驴,在此我们就封锁bt下载为例,
　　建立一个tftp站点,将bittorrent.pdlm复制到该站点,在核心路由器中使用ip nbar pdlm tftp://tftp站点的ip/bittorrent.pdlm命令加载bittorrent.pdlm模块
　　接下来设置路器策略,具体命令如下:
　　class-map match-any bit
　　//创建一个class_map名为bit
　　match protocol bittorrent
　　//要求符合模块bittorrent的标准!
　　policy-map limit-bit
　　//创建一个policy-map名为limit-bit
　　class bit
　　//要求符合刚才定义的名为bit的class-map
　　drop
　　//如果符合则丢数据包!
　　interface gigabitethernet0/2
　　//进入网络出口那个接口
　　service-policy input limit-bit
　　//当有数据包进入时启用limit-bit路由策略
　　service-policy output limit-bit
　　//当有数据包出的时候启用limit-bit路由策略
　　如果不想每次启动路由器的都要手工加载tftp上的bittorrent.pdlm,可以把这个pdlm文件上传到路由器的flash中,然后选择tftp服务器的ip地址即可.提示:封锁kazaa或者是edonkey时,在路由器配置中将"match protocol后的bittorrent替换为kazaa2或者edonkey即可,其它配置和封锁bt一样,
　　通过nbar加载pdlm模块法封锁bt软件后,小金已经完全断绝了公司内部的bt使用,所有员工都能安心工作,网络速度也恢复到以前的稳定值了,
　　(缺点:该方法配置起来相对麻烦,指令非常多,而且路由器每次启动都要重新指定pdlm文件,如果将pdlm文件上传到路由器的flash中又会占用不少空间,通过路由策略进行封锁bt软件的同时也会占用路由器大量的cpu与内存的资源,影响了数据包的传 输速度
　　优点:通过该方法可以彻底封锁bt下载)

（）