采用ACL方法限制BT

我們可以采用以下方式來配置ACL，一種是開放所有端口，只限制bt的端口，配置如下；

！  
 
access-list 101 deny tcp any any range 6881 6890  
 
access-list 101 deny tcp any range 6881 6890 any  
 
access-list 101 permit ip any any  
 
！ 

說明：這種方法有其局限性，因?yàn)楝F(xiàn)在有的p2p軟件，端口可以改變，封鎖后會(huì)自動(dòng)改端口，甚至可以該到80端口，如果連這個(gè)也封，那網(wǎng)絡(luò)使用就無法正常工作了；

另外一種方式是只開放有用的端口，封閉其他所有端口；

！  
 
access-list 101 permit tcp any any eq 80  
 
access-list 101 permit tcp any any eq 25  
 
access-list 101 permit tcp any any eq 110  
 
access-list 101 permit tcp any any eq 53  
 
access-list 101 deny ip any any  
 
！ 

說明：此方法是對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格的控制，對(duì)簡(jiǎn)單的小型網(wǎng)絡(luò)還可行，而如果是大型網(wǎng)絡(luò)，數(shù)據(jù)流量又很復(fù)雜那么管理的難度將非常大；

還有一種方式是對(duì)端口是3000以上的流量進(jìn)行限速；因?yàn)槎鄶?shù)蠕蟲病毒和p2p的端口都是大于3000的，當(dāng)然也有正常的應(yīng)用是采用3000以上的端口，如果我們將3000以上的端口封閉，這樣正常的應(yīng)用也無法開展，所以折中的方法是對(duì)端口3000以上的數(shù)據(jù)流進(jìn)行限速，例如：

------------定義Class-map--------------;

！  
 
class-map match-all xs  
 
match access-group 101  
 
！ 

------------定義policy-map-------------;

policy-map xs  
 
class xs  
 
police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop  
 
！ 

------------定義ACL--------------------;

！  
 
access-list 101 permit tcp any any gt 3000  
 
access-list 101 permit udp any any gt 3000  
 
！ 

------------應(yīng)用到接口上---------------;

interface f0/0  
 
service-policy input xs  
 
！ 

限制BT的其他方法請(qǐng)閱讀：

Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法（1）

Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法（3）

【編輯推薦】

1. cisco路由器之關(guān)閉一些不必要的服務(wù) 上篇
2. 思科基礎(chǔ)知識(shí)：管理Cisco互聯(lián)網(wǎng)絡(luò)（1）
3. 思科基礎(chǔ)知識(shí)：Cisco IOS簡(jiǎn)介（1）
4. Cisco基礎(chǔ)之網(wǎng)際互連