最近为了封bt,几乎把nbo的网络论坛找遍了,用nbar (network-based application recognition)网络应用识别 nbar是一种动态能在四到七层寻找协议的技术,它不但能做到普通acl能做到那样控制静态的tcp udp的报,也能做到控制一般acls不能做到动态的端口的那些协议(如bt)之类.
我就说说过程:
1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm,(要cco的)
2放到tftp,然后用copy tftp disk2(大多数应该是flash)
拷到路由器中,
route7206#conf t
enter configuration commands, one per line. end with cntl/z.
route7206(config)#ip nbar pdlm bittorrent.pdlm
route7206(config)#
!
ip nbar pdlm bittorrent.pdlm
!
1.) 创建一个 a class-map and policy map 并且把它应用到相应的端口:
得到关于bt的部分是
class-map match-all bittorrent
match protocol bittorrent
!
!
policy-map bittorrent-policy
class bittorrent
drop
!
interface gigabitethernet0/2
description connect inside
ip address 192.168.168.1 255.255.255.252 secondary
ip address 192.168.21.1 255.255.255.0
ip nat inside
service-policy input bittorrent-policy
service-policy output bittorrent-policy
duplex full
speed 1000
media-type rj45
no negotiation auto
我实验了一下,这样的话,bt就不能下载,呵呵
感觉目前这样的技术比较好,我正在实验去掉emule的方法
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm
class-map match-any bittorrent
match protocol bittorrent
match protocol edonkey
!
!
policy-map bittorrent-policy
class bittorrent
drop
用上面的语句emule和bt都可以封掉
关 键 字:网管技术
相关文章:
TCP/IP 你了解多少?
腾讯称其成为网络犯罪受害者
安全网站的自身安全谁来保证?
实例讲解如何处理ARP伪装攻击包的问题
四种方法保障网络参数设置安全