自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(3)

作者:佚名
網(wǎng)絡(luò)
本文介紹了采用NAT的單用戶連接數(shù)限制BT的方法,其實(shí)限制BT的方法不止這一種,我們的文章也介紹過,具體采用哪種方法只能您根據(jù)自己網(wǎng)絡(luò)的狀況來定,當(dāng)然也可以將幾種方法結(jié)合起來使用。

采用NAT的單用戶連接數(shù)限制BT

在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉(zhuǎn)換的單個IP限制其NAT的表項(xiàng)數(shù),因?yàn)閜2p類軟件如bt的一大特點(diǎn)就是同時會有很多的連接數(shù),從而占用了大量的NAT表項(xiàng),因此應(yīng)用該方法可有效限制bt的使用,比如我們?yōu)镮P 10.1.1.1設(shè)置最大的NAT表項(xiàng)數(shù)為200;正常的網(wǎng)絡(luò)訪問肯定夠用了,但如果使用bt,那么很快此IP的NAT表項(xiàng)數(shù)達(dá)到200,一旦達(dá)到峰值,該IP的其他訪問就無法再進(jìn)行NAT轉(zhuǎn)換,必須等待到NAT表項(xiàng)失效后,才能再次使用,這樣有效的保護(hù)了網(wǎng)絡(luò)的帶寬,同時也達(dá)到了警示的作用。

例如限制IP地址為10.1.1.1的主機(jī)NAT的條目為200條,配置如下:

ip nat translation max-entries host 10.1.1.1 200

如果想限制所有主機(jī),使每臺主機(jī)的NAT條目為200,可進(jìn)行如下配置:

ip nat translation max-entries all-host 200

備注:

NBAR(Network-Based Application Recognition,基于網(wǎng)絡(luò)的應(yīng)用識別)是一種流量分類引擎,能夠通過數(shù)據(jù)包本身的描述識別該數(shù)據(jù)屬于何種應(yīng)用服務(wù)。在CISCO IOS的12.0(5)XE2引入了該特性。通常NBAR會用于輔助CISCO IOS的QOS(服務(wù)質(zhì)量),由NBAR將通過路由器的流量進(jìn)行流量分類,CISCO IOS根據(jù)分類結(jié)果對不同類別的流量實(shí)施QOS特性。

NBAR能夠動態(tài)的尋找并分類通過路由器的四到七層流量中的協(xié)議,可以識別動態(tài)分配TCP和UDP端口號的有狀態(tài)應(yīng)用(如P2P類文件共享程序),可以識別常用的TCP和UDP協(xié)議的端口號及其他類型的三層協(xié)議、包含在應(yīng)用層數(shù)據(jù)里的命令等。NBAR還可以用于識別攻擊流量,并在確認(rèn)流量為惡意流量之后,進(jìn)行丟棄。

通過和數(shù)據(jù)包描述語言模塊(PDLM)配合,NBAR可以擁有更加強(qiáng)大的功能。PDLM是已經(jīng)定義好的用于增強(qiáng)NBAR網(wǎng)絡(luò)協(xié)議分析和應(yīng)用的識別能力的模塊,在CISCO官方網(wǎng)站上提供了很多已經(jīng)定義好的PDLM,可以使用CCO號登陸CISCO網(wǎng)站進(jìn)行下載。通過加載PDLM可以增強(qiáng)NBAR 的能力,而不需要重裝CISCO IOS軟件。下載到需要的PDLM模塊文件后,可以使用TFTP方式COPY模塊到路由器的FLASH中,然后使用ip nbar pdlm [模塊名] 命令進(jìn)行加載。PDLM還允許管理員自定義協(xié)議和端口號對特定的流量進(jìn)行審查。

使用NBAR功能,首先要在路由器啟動CISCO快速轉(zhuǎn)發(fā)功能,然后根據(jù)需要審查的流量使用class-map建立審查分組(類), 可以具體的定義需要審查何種應(yīng)用類型,數(shù)據(jù)包長度,連接地址等。完成了流量分類,就可以通過定義policy-map來指定各種流量對應(yīng)的安全規(guī)則,比如對于攻擊流量進(jìn)行丟棄,使用帶寬管制對可疑流量進(jìn)行帶寬限制。最后需要在接口下啟用流量策略。

NBAR也有很多缺陷,例如不支持HOST或MINE的匹配類型,不支持非IP流量,不支持組播或其他非CEF的交換模式,不支持被分片的數(shù)據(jù)包等。NBAR特性不被邏輯接口支持,包括快速以太網(wǎng)信道、TRUNK接口、交換虛接口等。

限制BT的其他方法請閱讀:

Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(1)

Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(2)

【編輯推薦】

  1. cisco路由器之關(guān)閉一些不必要的服務(wù) 上篇
  2. 思科基礎(chǔ)知識:管理Cisco互聯(lián)網(wǎng)絡(luò)(1)
  3. 思科基礎(chǔ)知識:Cisco IOS簡介(1)
  4. Cisco基礎(chǔ)之網(wǎng)際互連
責(zé)任編輯:佚名 來源: 中華教育網(wǎng)
NAT限制BTNBAR
相關(guān)推薦

2011-07-14 11:12:39

Cisco限制BT

2011-07-14 11:12:47

限制BT

2011-05-31 10:14:16

網(wǎng)際互連橋接器路由器

2009-09-24 15:02:26

Cisco認(rèn)證

2009-12-21 10:54:08

WCF認(rèn)證

2010-08-17 13:21:00

CiscoCCA認(rèn)證

2010-08-03 09:47:47

路由器

2011-05-31 13:50:14

CiscoIOS

2011-04-02 17:13:39

VTPTrunk

2011-03-15 15:33:26

IPtablesBT電驢

2010-05-26 11:34:09

CCIECISSPCompTIA A+

2010-01-06 14:40:01

2011-07-14 10:54:38

2010-08-06 14:33:37

思科路由器端口限制

2009-09-16 14:45:53

CCNA重難點(diǎn)

2013-08-27 09:47:09

QOS限速思科交換機(jī)

2010-08-26 16:14:54

Cisco認(rèn)證

2009-07-01 11:45:42

Cisco認(rèn)證心得

2011-06-01 14:17:39

Cisco路由器

2009-04-15 09:46:29

思科認(rèn)證考試經(jīng)驗(yàn)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號