- 相關推薦
怎么通過路由器設置來控制帶寬資源
對任何一所大學來說它的網絡帶寬資源是十分寶貴的,但是BT軟件的使用耗費了大量的帶寬,使得原來一些需要保證的應用受到影響,使用理論的說教往往不能使喜歡這類軟件的人放棄這種喜好,所以有必要對此類軟件從技術手段上進行限制。下面YJBYS小編來分析一下BT下載類軟件的工作原理,找到可以用來限制此類應用的依據,然后再進行限制。
首先BT類下載軟件一般使用的端口是固定的一個范圍,常用的范圍是:6881~6890,如果我們能夠在路由器中對這一段的端口進行限制,就可以對此類軟件進行限制了。但是也有一些BT軟件,可以自動更新端口。此類軟件有一個共同的特點是在工作時占用的帶寬很大,往往要超過正常的應用,所以我們從兩個方面對此類軟件進行限制:一個是限制它應用的端口,一個是對異常的流量進行限制。下面就這兩個方面進行配置:
一.使用基于類的路由策略進行控制
1.端口限制:www.jsdzsw.com
access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890
access-list 101 permit any any
2.流量限制:
class-map match-all bt_updown
match access-group 101
policy-map drop-bt_updown
class bt_updown
police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop
二.使用上述的基于類的策略在對付自動變更端口的BT類軟件時有些力不從心,為此,CISCO 路由器提供了專門的PDLM(Packet Description Language Module)包描述語言模塊從協議層上進行對此類軟件使用的協議進行了描述。因此,路由器可以對數據包使用的協議進行分析,當傳輸的數據包符合該協議的描述時路由器可以識別,配合相應的類策略對數據進行控制(如允許通過或丟棄等),從而根本上解決了動態端口的控制弊病。但是由于PDLM模塊屬于非公開資源,CISCO 公司對該資源的下載和傳播進行了嚴格的控制,必須具有CCO資格的路由器用戶方可下載使用。由于該PDLM不屬于路由器的啟動加載項,所以重新啟動路由器時,必須通過TFTP 進行進行手動加載: www.myjurong.com
ip nbar pdlm tftp://192.168.100.2/bittorrent.pdlm//bittorent.pdlm為下載的pdlm模塊文件名
class-map match-all bt_updown//定義類 bt_updown
match protocol bittorrent//匹配bittorrent協議
policy-map limit-bt//定義策略圖 limit_bt
class bt_updown//將類 bt_updown 加載到策略圖中作為觸發事件
police cir 240000 conform-action transmit exceed-action drop //定義符合和超載傳輸流大小為240000 bits
police cir 8000 conform-action transimit exceed-action drop
在路由器相應端口上加載服務策略:
service-policy input limit-bit//限制下載,流入
service-policy output limit-bit//限制上傳,流出
2001年出現的尼姆達病毒(Nimda)、紅色代碼病毒均是蠕蟲病毒,這些病毒借助于網絡進行傳播,傳播的速度快,對感染的計算機破壞強。用戶一旦感染了這種病毒,只要所處的網絡中存在有此類的病毒,一般情況下是很難清除的。這里不想對病毒的工作原理及如何清除這些病毒進行過多的。
論述,而主要討論這些病毒的網絡行為如何在路由器中被識別出來并且使用相應的策略對這些數據包加以阻止或丟棄。
尼姆達病毒在網絡中傳播的主要特征有:
1、利用病毒宿主通過網絡短時間內發送大量的含有“readme.exe”附件的“readme.eml”電子郵件;
2、搜尋以前的IIS蠕蟲病毒留下的后門程序曾經或已經感染紅色代碼病毒(Code Red)并留下了病毒后門,尼姆達病毒就會利用后門程序進行漏洞掃描; www.jsdzsw.com
3、通過大量含有病毒的電子郵件的發送和掃描將導致網絡服務產生拒絕服務(DoS)。
在分析尼姆達病毒的主要特征后,可以在路由器上有針對性進行配置以防范和阻止尼姆達病毒的傳播:
a.阻塞端口
access-list 101 deny tcp any eq 25 any eq 25//阻塞SMTP協議端口
access-list 101 deny tcp any eq 69 any eq 69//阻塞TFTP端口
access-list 101 deny tcp any eq 135 any eq 135//阻塞NetBIOS協議
access-list 101 deny tcp any eq 445 any eq 445//阻塞NetBIOS協議
access-list 101 deny tcp any eq range 138 139 any range 138 139//阻塞NetBIOS協議
access-list 101 permit any any
b.配置策略圖
class-map match-all nimda//定義類 nimda
match protocol http url "*.ida*"//匹配HTTP協議中的url地址中含有.ida關鍵詞
match protocol http url "*cmd.exe*"//匹配HTTP協議中的url地址中含有cmd.exe關鍵詞
match protocol http url "*root.exe*"//匹配HTTP協議中的url地址中含有root.exe關鍵詞
match protocol http url "*readme.eml*"//匹配HTTP協議中的url地址中含有readme.eml關鍵詞
policy-map block_nimda//定義策略圖 block_nimda
class nimda//將類 nimda 加載到策略圖中作為觸發事件
police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定義路由器速率限制策略
【怎么通過路由器設置來控制帶寬資源】相關文章:
路由器怎么設置10-26
思科路由器怎么設置06-16
路由器wifi怎么設置06-20
水星路由器怎么設置08-24
tplink路由器怎么設置07-30
思科路由器怎么設置07-31
路由器web怎么設置10-18
詳解路由器怎么設置11-03
教你怎么設置路由器來防止破解和蹭網08-11
局域網中怎么控制帶寬流量07-31