校園網關于BT下載的幾種管理技巧

每個校園網絡的管理者對管理的網絡都有不同的理解，因此，對于BT下載的控制方式也不盡相同。但歸根結底無非是兩種做法，一是“堵”，即通過技術手法隔離BT，杜絕一切BT流量；二是“疏”，即在特定的范圍、時間內可以使用BT，允許流量通過，滿足大家的需求。
    限制瀏覽BT網站
    BT網站很多，但考慮到BT下載的特點：下載的人數越多，速度越快；種子越多，速度越快。只有比較熱門BT網站的Torrent文件下載的人才會比較多，一般的BT網站去的人就比較少，下載的人數也少，除非他能忍受每秒幾K的速度。因此針對比較熱門的BT網站，獲得服務器地址后就可以到核心服務器上對該地址進行封鎖。以Cisco設備為例，具體命令為：
    access-list 102 deny tcp any 202.103.9.83 0.0.0.0
    這種方法使用access-list命令來控制，實現(xiàn)起來比較容易。但由于BT網站比較多而且層出不窮，因而access-list命令的條數會因為BT服務器的數量增加而增加，隨著access-list命令條數的增多路由器的負荷也隨之增加。從實際操作上來看，BT的種子網站眾多，而且無需固定的服務器，要想監(jiān)控，難度也很大，技術上難以實現(xiàn)。
    封閉BT下載端口
    解決BT對局域網的危害，最徹底的方法是不允許進行BT下載，BT一般使用TCP的6881～6889的端口，網絡管理員可以根據網絡流量的變化進行判斷，在網關中將特定的種子發(fā)布站點和端口封掉，在BT下載軟件中的Track中可以獲得這些信息；但是現(xiàn)在大多數BT軟件可以修改端口號，因此網管可以根據實際情況，利用訪問控制列表在不影響正常業(yè)務的情況下盡可能將封閉的端口范圍擴大，把一些特定的種子發(fā)布站點和端口進行封閉。以Cisco設備為例，具體命令為：
     access-list 101 deny tcp any any range 6880 6890
     access-list 101 deny tcp any range 6880 6890 any
     access-list 101 permit ip any any
    接著進入相應的端口,輸入ip access-group 101 out 使訪問控制列表生效配置之后，網絡帶寬就會馬上釋放出來，網絡速度得到提升。
    這種方法也使用access-list命令來控制，實現(xiàn)起來比較容易。但是由于BT可以自由變換端口，這樣一來，勢必要封堵大量的端口，封閉了端口必然影響了網絡的應用。有的網絡管理員甚至僅僅打開80、53、21、25、110等常用端口而封閉其他所有端口。
    加載PDLM模塊
    使用Cisco公司出品的PDLM模塊可以省去我們配置路由策略的工作,封鎖效果非常好。上文介紹的兩種方法，一個是對數據包的目的地址進行封鎖，一個是對數據包使用的端口進行封鎖，雖然在一定范圍內有效，但不能起到全面禁止BT的作用，通過PDLM+N BAR的方法來封鎖BT就存在這個問題了。
    Cisco在其官方網站上提供了三個PDLM模塊,分別為KAZAA2.pdlm,bittorrent.pdlm和emonkey.pdlm，可以用來封鎖KAZAA、BT、電驢。在此我們以封鎖BT下載為例。
    建立一個TFTP站點,將bittorrent.pdlm復制到該站點,在核心路由器中使用ip nbar pdlm tftp://TFTP站點的IP/bittorrent.pdlm命令加載bittorrent.pdlm模塊。
    接下來設置路由策略,具體命令如下:
     class-map match-any bit
     BIT
     match protocol bittorrent
     policy-map limit-bit
     //創(chuàng)建一個POLICY-MAP名為LIMIT-BIT
     class bit
     //要求符合剛才定義的名為BIT的CLASS-MAP
     drop
     //如果符合則丟數據包!
     interface gigabitEthernet0/2
     //進入網絡出口那個接口
     service-policy input limit-bit
     //當有數據包進入時啟用LIMIT-BIT路由策略
     service-policy output limit-bit
     //當有數據包出的時候啟用LIMIT-BIT路由策略