怎麼通過路由器設定來控制頻寬資源

對任何一所大學來說它的網路頻寬資源是十分寶貴的，但是BT軟體的使用耗費了大量的頻寬，使得原來一些需要保證的應用受到影響，使用理論的說教往往不能使喜歡這類軟體的人放棄這種喜好，所以有必要對此類軟體從技術手段上進行限制。下面YJBYS小編來分析一下BT下載類軟體的工作原理，找到可以用來限制此類應用的依據，然後再進行限制。

首先BT類下載軟體一般使用的埠是固定的一個範圍，常用的範圍是：6881～6890，如果我們能夠在路由器中對這一段的埠進行限制，就可以對此類軟體進行限制了。但是也有一些BT軟體，可以自動更新埠。此類軟體有一個共同的特點是在工作時佔用的頻寬很大，往往要超過正常的應用，所以我們從兩個方面對此類軟體進行限制：一個是限制它應用的埠，一個是對異常的流量進行限制。下面就這兩個方面進行配置：

　　一.使用基於類的路由策略進行控制

1.埠限制：

access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890

access-list 101 permit any any

2.流量限制：

class-map match-all bt_updown

match access-group 101

policy-map drop-bt_updown

class bt_updown

police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop

二.使用上述的基於類的策略在對付自動變更埠的BT類軟體時有些力不從心，為此，CISCO 路由器提供了專門的PDLM(Packet Description Language Module)包描述語言模組從協議層上進行對此類軟體使用的協議進行了描述。因此，路由器可以對資料包使用的協議進行分析，當傳輸的資料包符合該協議的描述時路由器可以識別，配合相應的類策略對資料進行控制(如允許通過或丟棄等)，從而根本上解決了動態埠的控制弊病。但是由於PDLM模組屬於非公開資源，CISCO 公司對該資源的下載和傳播進行了嚴格的控制，必須具有CCO資格的路由器使用者方可下載使用。由於該PDLM不屬於路由器的'啟動載入項，所以重新啟動路由器時，必須通過TFTP 進行進行手動載入：

ip nbar pdlm t/為下載的pdlm模組檔名

class-map match-all bt_updown//定義類 bt_updown

match protocol bittorrent//匹配bittorrent協議

policy-map limit-bt//定義策略圖 limit_bt

class bt_updown//將類 bt_updown 載入到策略圖中作為觸發事件

police cir 240000 conform-action transmit exceed-action drop //定義符合和超載傳輸流大小為240000 bits

police cir 8000 conform-action transimit exceed-action drop

　　在路由器相應埠上載入服務策略：

service-policy input limit-bit//限制下載，流入

service-policy output limit-bit//限制上傳，流出

2001年出現的尼姆達病毒(Nimda)、紅色程式碼病毒均是蠕蟲病毒，這些病毒藉助於網路進行傳播，傳播的速度快，對感染的計算機破壞強。使用者一旦感染了這種病毒，只要所處的網路中存在有此類的病毒，一般情況下是很難清除的。這裡不想對病毒的工作原理及如何清除這些病毒進行過多的。

論述，而主要討論這些病毒的網路行為如何在路由器中被識別出來並且使用相應的策略對這些資料包加以阻止或丟棄。

尼姆達病毒在網路中傳播的主要特徵有：

1、利用病毒宿主通過網路短時間內傳送大量的含有“”附件的“”電子郵件;

2、搜尋以前的IIS蠕蟲病毒留下的後門程式曾經或已經感染紅色程式碼病毒(Code Red)並留下了病毒後門，尼姆達病毒就會利用後門程式進行漏洞掃描;

3、通過大量含有病毒的電子郵件的傳送和掃描將導致網路服務產生拒絕服務(DoS)。

在分析尼姆達病毒的主要特徵後，可以在路由器上有針對性進行配置以防範和阻止尼姆達病毒的傳播：

a.阻塞埠

access-list 101 deny tcp any eq 25 any eq 25//阻塞SMTP協議埠

access-list 101 deny tcp any eq 69 any eq 69//阻塞TFTP埠

access-list 101 deny tcp any eq 135 any eq 135//阻塞NetBIOS協議

access-list 101 deny tcp any eq 445 any eq 445//阻塞NetBIOS協議

access-list 101 deny tcp any eq range 138 139 any range 138 139//阻塞NetBIOS協議

access-list 101 permit any any

b.配置策略圖

class-map match-all nimda//定義類 nimda

match protocol http url "**"//匹配HTTP協議中的url地址中含有關鍵詞

match protocol http url "**"//匹配HTTP協議中的url地址中含有關鍵詞

match protocol http url "**"//匹配HTTP協議中的url地址中含有關鍵詞

match protocol http url "**"//匹配HTTP協議中的url地址中含有關鍵詞

policy-map block_nimda//定義策略圖 block_nimda

class nimda//將類 nimda 載入到策略圖中作為觸發事件

police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定義路由器速率限制策略