cisco路由上封BT方法比较及分析

 

http://happy-net.cn/cisco/5351.htm

<iframe name="google_ads_frame" marginwidth="0" marginheight="0" src="http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-8551984376922479&amp;dt=1179961813049&amp;lmt=1179142864&amp;format=336x280_as&amp;output=html&amp;correlator=1179961813049&amp;channel=1552418370&amp;url=http%3A%2F%2Fhappy-net.cn%2Fcisco%2F5351.htm&amp;color_bg=f8f8f8&amp;color_text=000000&amp;color_link=0906fc&amp;color_url=58Ff4C&amp;color_border=FFFFFF&amp;ad_type=text_image&amp;ref=http%3A%2F%2Fhappy-net.cn%2Fcisco%2F5324.htm&amp;cc=555&amp;flash=9&amp;u_h=768&amp;u_w=1024&amp;u_ah=738&amp;u_aw=1024&amp;u_cd=32&amp;u_tz=480&amp;u_his=5&amp;u_java=true" frameborder="0" width="336" scrolling="no" height="280" allowtransparency="allowtransparency"></iframe>◆
QQ:7581276 MAIL:lh@hutc.zj.cn [请转贴时保留我的EMAIL]

最近为了封BT，几乎把NBO的网络论坛找遍了，用NBAR (Network-Based Application Recognition)网络应用识别
NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.

我就说说过程：
1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm，（要CCO的）
2放到TFTP，然后用copy tftp disk2(大多数应该是flash)
拷到路由器中，
route7206#conf t
Enter configuration commands, one per line. End with CNTL/Z.
route7206(config)#ip nbar pdlm bittorrent.pdlm
route7206(config)#

!
ip nbar pdlm bittorrent.pdlm
!

1.) 创建一个 a class-map and policy map 并且把它应用到相应的端口:
得到关于BT的部分是
class-map match-all bittorrent
match protocol bittorrent
!
!
policy-map bittorrent-policy
class bittorrent
drop
!
interface GigabitEthernet0/2
description CONNECT INSIDE
ip address 192.168.168.1 255.255.255.252 secondary
ip address 192.168.21.1 255.255.255.0
ip nat inside
service-policy input bittorrent-policy
service-policy output bittorrent-policy
duplex full
speed 1000
media-type rj45
no negotiation auto

我实验了一下，这样的话，BT就不能下载，呵呵
感觉目前这样的技术比较好，我正在实验去掉EMULE的方法，


◆
◆
刚刚做了一个电驴和BT的,只是可惜对于EMULE,虽然国外的BBS上说EDONKEY最新version2.0的包括了emule,可我实验了一下,不行,只能对edonkey本身有用.
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm

class-map match-all bittorrent
match protocol bittorrent
match protocol edonkey
!
!
policy-map bittorrent-policy
class bittorrent
drop
!


◆
◆
俺也想在内部网中封掉BT等 ，没用路由器，用的是WINROUTE PRO 4。25 ，如何封呢 ？ ◆
◆
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm

class-map match-any bittorrent
match protocol bittorrent
match protocol edonkey
!
!
policy-map bittorrent-policy
class bittorrent
drop
上次是写错了,用上面的语句emule和bt都可以封掉


◆
◆
[quote]原帖由 "forest_yh"]俺也想在内部网中封掉BT等 ，没用路由器，用的是WINROUTE PRO 4。25 ，如何封呢 ？[/quote 发表：
你不能用NBAR了,可以封掉一些BT的特定端口,6880-6889,然后把一些特定的种子发布站点和端口给封掉,具体你可以看看BT下载软件中的那个track,呵呵


◆
◆
哪里可以找到bittorrent.pdlm这个模块呀？在线跪求。。。 ◆
◆


QUOTE:原帖由 "hzleihuan" 发表：
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm

class-map match-any bittorrent
match protocol bittorrent
match protocol edonkey
!
!
policy-map bittorrent-policy
class bittorre..........能把你的两个模块给我用用吗，谢谢。 ◆
◆
想学东西真难呀。。。。。。 ◆
◆
用isa吧，可以对应用程序进行筛选。


◆
◆
谢谢 hzleihuan 圣骑士 ，真是很谢谢 ，我试了再来回复结果 。 ◆
◆
◆
我终于找到模块了。 ◆
◆
请问2611上可以使用这两个模块吗？如果可以使用IOS版本是多少？ ◆
◆
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm

把这2个文件复制到路由器的disk0:上去后，不需要指定具体路径，直接使用ip nbar pdlm bittorrent.pdlm这条命令就可以了嚒？ ◆
◆
好像不行啊，使用BitTorrent Plus! 2的还是能下载，晕死


◆
◆
不错啊


◆
◆
ding


◆
◆
你们这样的网管最可恨，研究什么不好，非要研究这破东西，让大家都下不了东西，以后没电影看就找你们


◆
◆
禽兽,连bt和emule也不放过.你还让不让人活. ◆
◆
为 hzleihuan 喝彩鼓掌！

作为网管员，首要任务是管理好网络 ，保证网络的主要作用最大化使用（例如单位管理系统，公司主业务服务），就包括对网络极好的可控，而不是拿来主要给下电影（因为要极大地占用带宽） ，因此 ，封锁BT 和emule 有时是无奈和必要的 。

请大家多多想些办法来封锁BT和 emule ，再次谢谢了 ！ ◆
◆
封了ＢＴ，又会来PT、TT……，永远都封不完，就像人类永远无法包治百病一样。堵不如疏，扩容才是正路。什么时候网络真正变成高速路了，网络经济的时代才真正到来了。
没有了BT，没有了电影，上网乐趣减半，上网人数减半，IT公司减半，网络公司人员减半，各位一半下岗…………：-(


◆
◆
◆
THANKS OK! ◆
◆
我觉得bt是封不掉的吧。即使你把端口封了，我还可以用TTT之类的工具把它转成HTTP再出去，你估计不会把HTTP也封掉吧。


◆
◆
其实BT是一种比较恶劣的设计思路，有点竭泽而鱼或者不顾它人的感觉(早先多线程下载已经有点这个意思，但不如这个来的对抗性明显)，升级带宽是没有用的，因为它的种子优先算法会判断速度快的种子，有多少带宽吃多少带宽。曾经诊断过一个网络，出口20M的时候大家叫慢，发现几台机BT，进出连接占到总数的80%左右，升级到40M, 用户反映丝毫不见好。这种个别“大公无私”的用户为了给整个网络服务，而伤害了周围同伴的情况，如果你是网管，你该怎么处理？难道升级电信的主干进来吗？不要随便骂网管了。

从技术上无法封闭，应该从管理上进行控制，毕竟不容易程序禁止，但通过Sniffer还是比较容易识别出BT用户的。据说香港的服务商(也可能是局部)是明令禁止BT的，会有专门的执法队伍上门查封设备的。 ◆
◆
这样的配置需要怎样的cisco iso版本？ ◆
◆
从技术上无法封闭，应该从管理上进行控制，毕竟不容易程序禁止，但通过Sniffer还是比较容易识别出BT用户的。据说香港的服务商(也可能是局部)是明令禁止BT的，会有专门的执法队伍上门查封设备的。

偶觉得公司内部封BT是公司自己的问题，ISP要是禁止BT就不应该了。
花了钱租了线路，运营商就应该负责保证带宽。 ◆
◆
范围不同，考虑问题其实是一样的，运营商如何保证带宽？ 你的机房到供应商机房的带宽？没问题啊，但能保证你从北京到美国，到香港的带宽吗？没有这么签的吧？ 在出现瓶颈的地方禁止BT是应该的（当然增加瓶颈的带宽也行，但有可能把瓶颈转移到其他位置）。

事实情况是越是叫着保护带宽，越是保护不了带宽。 主要问题是带宽分配不是算术平均的，不管网络再先进，都要考虑到资源共享和争用问题，BT 争用资源的手法比较狠。 ◆
◆
由于网站限制文件扩展名，请将bittorrent.gif 改为bittorrent.pdlm 文件

图片附件: bittorrent.gif (2004-12-14 14:09, 4.64 K)




◆
◆
我再来跟个贴，主要还是怎么样BLOCK P2P的流量：
1、http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00801e419a.shtml
2、http://www.cisco.com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a0080087cd0.html
主要是详细讲述了NBAR，以及在PIX上面防止P2P流量。
本人是搞社区宽带的，对于这些P2P的软件也是头痛。无论你怎么样升级带宽，它都能吃掉。在共享式的网络环境里面，使用P2P是很不负责任的。 ◆
◆
[quote]原帖由 "Cocal"]范围不同，考虑问题其实是一样的，运营商如何保证带宽？ 你的机房到供应商机房的带宽？没问题啊，但能保证你从北京到美国，到香港的带宽吗？没有这么签的吧？ 在出现瓶颈的地方禁止BT是应该的（当然增加瓶颈的带宽也..........[/quote 发表：


在edge的地方该做QoS的要做QoS，基于SLA的流量限制是可以接受的。
但是莫名其妙的就要禁止掉BT，不是所有的消费者都能够接受。

另外，你说运营商不能保证北京到美国、到香港的带宽，这也算是目前开放式的Internet连接下的难题。目前都是根据流量结算的，使用BT的话肯定会导致成本上升，但是既然签了协议就要履行。至于之后是限制还是加钱升级线路，那是之后的事情了。如果认为不保证有理，那极端一点：我只能到我的运营商，到其他地方都是不通的，这种接入还有什么意义。

我的观点是：我和运营商之间签的协议没有说不允许使用BT，那就是可以使用，至于运营商的问题，应该由他们去费心，但是不能损害我作为消费者的利益。

最后，禁止BT是不是违反了隐私权和公民权，这个还很难说。 ◆
◆
试问QoS能够有效遏制BT的带宽占用吗？没有做过不敢乱下结论，但就对BT的了解来看，恐怕不容易。

本来服务就没有办法满足所有消费者的愿望了，如果允许BT肆虐侵蚀带宽，让人们知道大家平均支付的带宽被少数人抢占，恐怕不能接受的是大多数消费者。其实这里有一个误解，“我没有认为不保证有理” 你在保护人们的绝对权利，我在保证一个群体的共同利益。

如果要禁止BT的话，当然不是单从技术上来做了，除了技术上有难度之外。管理上的东西当然必须做足，包括修改服务协议。这正是我最开始的观点。

关于隐私权和公民权的问题比较有头晕，是否要递交人大讨论一下？呵呵(也许未来会是这样)。但比较清楚的是，有BT，就有对版权法、知识产权等等的侵犯，大概不用反对吧？ 在香港那种地方，上门查封翻版都够人喝一壶了，不要说你的隐私权先吧，呵呵。

跑的太远了，大家也许应该从技术上讨论一下如果不用BT，有什么错失作为补偿，或者说把BT做的再好一点，能够避开在瓶颈地段产生过大流量？ ◆
◆
◆
不错，为这事忙乎的焦头烂额了，总算拨开云雾见青天，我的路由器为:cisco3640,如果ios为：c3640-i-mz.122-2.T.bin，是不是可以使用此技术？bittorrent.pdlm，和edonkey,pdlm那位大哥发我一份，我也做做试验。谢谢！
zhf@nim.ac.cn ◆
◆
只开通常用端口，其他全部封死！
我就不信他还能通信！ ◆
◆
刚做了试验，emule可以限制，但是bt plus 和bitcomet限制不住，不知道为何 ◆
◆
BT系列软件好象都是动态端口的，不好封，但如果可以解析出服务器IP地址群的话，封IP可阻断 ，不知可否？ ◆
◆
只开放几个必须要用的，其余一概封掉。ftp不是很好么？非要用BT！BT消耗的资源实在太多了，不得不封阿。


◆
◆
要确认一下到底bitcomet能不能防得住呀,免得我白费力.

还有要问一下楼主,我并不想把BT都drop,我想把它压缩到一定的带宽,在QOS做bandwidth的设置后是对每个BT流限定带宽还是所有BT流的总带宽呢? ◆
◆
已经通过实验了,BT确实能够被NBAR限制住,可惜..............

这个思科所谓的四层协议分析也是基于端口来识别协议的,也就是说用这种方式只能限制BT的6881-6889 & 16881-16889这些端口,象Bitcomet和BT plus这类BT客户端软件是用的随机端口来进行B2B的传输,所以没有办法防了.
这是一个失败protocol定义,不过也不能怪cisco,BT发展速度,如果不通过拆包类分析是不能识别现有的BT流的.
几个楼上的也不用争了,如果不通过法制化互联网管理,国内的ISP迟早会被BT搞垮的....... ◆
◆
有没有真正的7层设备能够识别BT的呢?
请高手和见多识广的兄弟指教 ◆
◆
这事还真不好说，在一个单位里面吧，人多，总出口有限，你BT了别人就不爽了，影响它人利益。

可是在家里面，我就一条ADSL，不管我怎么用，也不会超出各地电信给设的512K或是1M带宽，我租的就是1M啊，凭什么不让我把1M用满？

感觉电信网通当初耍大了，承诺的1M并不能兑现，或者说用户们偶尔用个1M还行，很多用户长时间用1M他们的设备和链路就受不了，盲目的承诺宽带给用户，而不考虑自己的承受能力啊。

不用说是到US，就是国内的ISP之间的出口带宽甚至是各省各地市之间也满足不了下面那么多个用户负荷的运转。


◆
◆
用l7可以封锁住，见：
http://l7-filter.sourceforge.net/


◆
◆
◆
打了二十分钟，全被电信这帮家伙毁了：（

以202.97.15.186为首的北京路由器已经慢了一个月了，电信网通这些混蛋也拿不出个说法来，ztmd是惯坏了。

哼哼，升级升级，越升越急，改造改造，愈改愈糟


◆
◆
没什么...
封掉单向TCP连接过多的ip...就可以了..
不用上到传输层...
我这里已经做了...
不过是在Linux上做的...感觉这种os自由软件多...利用的空间大...


◆
◆
行政手段有时候更管用


◆
◆
另外我们没有路由器，只有cisco6509作核心交换，能用这些模块吗？


◆
◆
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm

class-map match-all bittorrent
match protocol bittorrent
match protocol edonkey
!
!
policy-map bittorrent-policy
!
!
! ◆
◆
我的是2621 不知能不能实现这样的功能。如果能的话，麻烦那位大哥有这个软件的话给我发一份。在下感激不尽！！myios@163.com
这个问题困扰了我好长时间了。 ◆
◆
我都　用了，可是封不住的
我的是2651xm IOS是c2600-a3jk9s-mz.123-11.t3.bin
1 26553708 c2600-a3jk9s-mz.123-11.t3.bin
2 3474 eDonkey.pdlm
3 1822 fasttrack.pdlm
4 1712 kazaa2.pdlm
5 4753 bittorrent.pdlm
这个版本的好像除了BT外的，其它的都已经集成到IOS中了
我用了上面说的去做的，可是封不住的，我已试过了 ◆
◆
我也试了上述方法，可是不能封锁Emule 0.45b(采用KAD网络连接)。
使用show ip nbar protocol-discovery 看到edonkey的匹配数据为0
请问如何解决？ ◆
◆
我没有专门的路由器，只有cisco 6509,在上面做的时候都行，但没有命令：
drop
是否有问题？


◆
◆
我跟楼上的情况一样，也是用的6509，没有drop命令，Qos里的限制带宽等命令对入方向的流量不起作用，应该怎么办 ◆
◆
◆
昏，没看懂 ◆
◆
楼主应该提供http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm
的下载.


◆
◆
QOS确实可以限制网络设备接口下的用户的带宽来达到限制BT的速率，但由于目前QOS的粒度计较大，还不能有效防止大量的BT流量。


◆
◆
以上的cisco的模块能否应用到其他类型的交换机呢？另外能否提供那些pdlm的模块啊，cisco上要帐号密码的，发给我ok？terry100000@hotmail.com
我qq 14132453 ，多谢大家啦


◆
◆
配置router的方式在边缘接入上做比较理想，在用户骨干上一开这个配置，路由器立马就over了.
现在听说了一些新的方式来限制bt（有些运营商已经在做了，呵呵），采用什么流量行为模型的
方式，据说效果比通过拆包比较bt头的方式（太消耗资源导致路由器down机）要强很多，可以在骨干上使用。

<iframe name="google_ads_frame" marginwidth="0" marginheight="0" src="http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-8551984376922479&amp;dt=1179961813049&amp;lmt=1179142864&amp;format=336x280_as&amp;output=html&amp;correlator=1179961813049&amp;channel=1552418370&amp;url=http%3A%2F%2Fhappy-net.cn%2Fcisco%2F5351.htm&amp;color_bg=f8f8f8&amp;color_text=000000&amp;color_link=0906fc&amp;color_url=58Ff4C&amp;color_border=FFFFFF&amp;ad_type=text_image&amp;ref=http%3A%2F%2Fhappy-net.cn%2Fcisco%2F5324.htm&amp;cc=555&amp;flash=9&amp;u_h=768&amp;u_w=1024&amp;u_ah=738&amp;u_aw=1024&amp;u_cd=32&amp;u_tz=480&amp;u_his=5&amp;u_java=true" frameborder="0" width="336" scrolling="no" height="280" allowtransparency="allowtransparency"></iframe>◆  

 

http://happy-net.cn/cisco/5351.htm