论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-07-19 16:53 |只看该作者 |倒序浏览

故障现象：\r\n20人左右的小小网络，用Cisco 2514路由器作NAT上网，CPU利用率高达95％以上，路由器NAT条目400条左右，其中某一个内网地址的NAT条目很多，占80％左右，源端口号为UDP的4516端口，固定，目标端口不固定，而且目标地址很杂，没有规律。看似不像病毒，像P2P软件下载，如PP、BT等。路由器端口流量比较大。\r\n处理过程：\r\n1、一开始，就简单的设置了访问控制列表，把该地址给过滤了，但是接着地址就变了（敌人反应也很快啊）。\r\n2、接着，做了针对源UDP端口的限制，但是接着端口号就换了（道高一尺，魔高一丈！放松不得），而且占用的NAT资源更多了，CPU利用率达到100％，Telnet根本登陆不上去，Console都很慢。敌人加速破坏，我方不得不采取退守，把外网线给拔了，CPU接着下来了。设置NAT条目的上限为200，插上网线，但是很不幸，200的上限很快就达到，而且CPU没有下来，估计这个时候肯定有上不去网的了，因为200条，该IP就占了90％左右。如果可以把该IP的NAT条目限制住，可能会有点戏。\r\n3、 CPU持续高。难道堂堂一个CCIE连这点问题都解决不了吗？去思科网站上找找看。找到一个12.3.4T版本可以支持针对单个地址限制NAT条目: ip nat trans max，但是2514好像没有这个版本可以下载。从思科网站上下载了一个12.3.5的版本，但是内网速率奇慢，升级总是不成功，又不好意思去把大家的网给断掉（虽然慢，但是等半天还是可以上），只好另想它策。\r\n4、从网上搜到思科有针对BT、Emule和Edonkey的PLDM程序可以下载，但是需要NBAR支持，目前2514这个版本不支持，而且不知道这种P2P流量属于哪一种，也只好作罢。\r\n5、能找到该地址对应的MAC，能拿它作什么呢？限制MAC？没在路由器上设置过。倒是可以根据MAC来限速。结果，最终利用MAC限速把故障解决，配置如下：\r\naccess-list rate-limit 100 000d.5b20.1111\r\nint e0\r\nrate-limit input access-group rate-limit 100 8000 1500 3000 conform-action drop exceed-action drop\r\n结果一设置上，CPU利用率比股市降的还快，很快就3%-4%的样子了，而且NAT条目降到40多条。\r\n哎呀，心里那个美啊～～\r\n更为高兴的时，一会就有一个声音从旁边响起：我上不去网了！！\r\n^_^一下午的辛苦，终于值得了～～～

剑心通明

版主

论坛徽章:: 2

2楼 [报告]

发表于 2005-07-20 09:14 |只看该作者

限制P2P流量一例（原创）

000d.5b20.1111 这个是谁的mac地址？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

t920

荣誉版主

论坛徽章:: 0

3楼 [报告]

发表于 2005-07-20 12:27 |只看该作者

限制P2P流量一例（原创）

嗯～～ip nat trans max这个命令应该是用来限制NAT表里的连接数的，并不能针对单个ip起作用。\r\n\r\n不过，路由始终不是做nat的上选，普通的接入路由器主频才是可怜的几十MHz，在后边加个bsd做ipnat才是王道，到时候想限制谁就限制谁、想限制连接数就限制连接数、想限制流量就限制流量，怎一个爽字了得。