對(duì)于路由器的安全設(shè)置問(wèn)題，一直是用戶(hù)很關(guān)注的問(wèn)題之一，這里主要分析了路由器安全設(shè)置中的一些小的技巧，希望對(duì)您有所幫助。BT是近年來(lái)比較熱門(mén)的基于P2P技術(shù)的分布式數(shù)據(jù)共享與傳播軟件，不同的人對(duì)這類(lèi)應(yīng)用有不同的看法。

支持的人說(shuō)它完滿(mǎn)地體現(xiàn)了我為人人，人人為我的思想，任何一個(gè)人都可以在網(wǎng)絡(luò)上向別人提供自己的文檔或軟件下載，當(dāng)下載的人越多時(shí)它的下載的速度也越來(lái)越快；反對(duì)的人說(shuō)它侵犯了軟件作者的版權(quán)以及耗費(fèi)了大量的網(wǎng)絡(luò)帶寬，應(yīng)該給予禁止。不管人們對(duì)這個(gè)軟件的看法如何，作為一個(gè)主要從事教育的大學(xué)來(lái)講，首先要保護(hù)作者的知識(shí)產(chǎn)權(quán)不會(huì)受到侵犯，另外還要保證學(xué)校的網(wǎng)絡(luò)資源能夠被合理利用，以保障教學(xué)及其它應(yīng)用的正常開(kāi)展。

對(duì)任何一所大學(xué)來(lái)說(shuō)它的網(wǎng)絡(luò)帶寬資源是十分寶貴的，但是BT軟件的使用耗費(fèi)了大量的帶寬，使得原來(lái)一些需要保證的應(yīng)用受到影響，使用理論的說(shuō)教往往不能使喜歡這類(lèi)軟件的人放棄這種喜好，所以有必要對(duì)此類(lèi)軟件從技術(shù)手段上進(jìn)行限制。下面來(lái)分析一下BT下載類(lèi)軟件的工作原理，找到可以用來(lái)限制此類(lèi)應(yīng)用的依據(jù)，然后再進(jìn)行限制。

首先BT類(lèi)下載軟件一般使用的端口是固定的一個(gè)范圍，常用的范圍是：6881～6890，如果我們能夠在路由器安全設(shè)置中對(duì)這一段的端口進(jìn)行限制，就可以對(duì)此類(lèi)軟件進(jìn)行限制了。但是也有一些BT軟件，可以自動(dòng)更新端口。此類(lèi)軟件有一個(gè)共同的特點(diǎn)是在工作時(shí)占用的帶寬很大，往往要超過(guò)正常的應(yīng)用，所以我們從兩個(gè)方面對(duì)此類(lèi)軟件進(jìn)行限制：一個(gè)是限制它應(yīng)用的端口，一個(gè)是對(duì)異常的流量進(jìn)行限制。下面就這兩個(gè)方面進(jìn)行配置：

使用基于類(lèi)的路由策略進(jìn)行控制

1．端口限制：

access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890
access-list 101 permit any any

2．流量限制：

class-map match-all bt_updown
match access-group 101
policy-map drop-bt_updown
class bt_updown
police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop

使用上述的基于類(lèi)的策略在對(duì)付自動(dòng)變更端口的BT類(lèi)軟件時(shí)有些力不從心

為此，CISCO 路由器安全設(shè)置提供了專(zhuān)門(mén)的PDLM（Packet Description Language Module）包描述語(yǔ)言模塊從協(xié)議層上進(jìn)行對(duì)此類(lèi)軟件使用的協(xié)議進(jìn)行了描述。因此，路由器安全設(shè)置可以對(duì)數(shù)據(jù)包使用的協(xié)議進(jìn)行分析，當(dāng)傳輸?shù)臄?shù)據(jù)包符合該協(xié)議的描述時(shí)路由器安全設(shè)置可以識(shí)別，配合相應(yīng)的類(lèi)策略對(duì)數(shù)據(jù)進(jìn)行控制（如允許通過(guò)或丟棄等），從而根本上解決了動(dòng)態(tài)端口的控制弊病。

但是由于PDLM模塊屬于非公開(kāi)資源，CISCO 公司對(duì)該資源的下載和傳播進(jìn)行了嚴(yán)格的控制，必須具有CCO資格的路由器安全設(shè)置用戶(hù)方可下載使用。由于該P(yáng)DLM不屬于路由器的啟動(dòng)加載項(xiàng)，所以重新啟動(dòng)路由器時(shí)，必須通過(guò)TFTP 進(jìn)行進(jìn)行手動(dòng)加載：