限制P2P流量一例（原创）

sherryliu

故障现象：\r\n20人左右的小小网络，用Cisco 2514路由器作NAT上网，CPU利用率高达95％以上，路由器NAT条目400条左右，其中某一个内网地址的NAT条目很多，占80％左右，源端口号为UDP的4516端口，固定，目标端口不固定，而且目标地址很杂，没有规律。看似不像病毒，像P2P软件下载，如PP、BT等。路由器端口流量比较大。\r\n处理过程：\r\n1、        一开始，就简单的设置了访问控制列表，把该地址给过滤了，但是接着地址就变了（敌人反应也很快啊）。\r\n2、        接着，做了针对源UDP端口的限制，但是接着端口号就换了（道高一尺，魔高一丈！放松不得），而且占用的NAT资源更多了，CPU利用率达到100％，Telnet根本登陆不上去，Console都很慢。敌人加速破坏，我方不得不采取退守，把外网线给拔了，CPU接着下来了。设置NAT条目的上限为200，插上网线，但是很不幸，200的上限很快就达到，而且CPU没有下来，估计这个时候肯定有上不去网的了，因为200条，该IP就占了90％左右。如果可以把该IP的NAT条目限制住，可能会有点戏。\r\n3、        CPU持续高。难道堂堂一个CCIE连这点问题都解决不了吗？去思科网站上找找看。找到一个12.3.4T版本可以支持针对单个地址限制NAT条目: ip nat trans max，但是2514好像没有这个版本可以下载。从思科网站上下载了一个12.3.5的版本，但是内网速率奇慢，升级总是不成功，又不好意思去把大家的网给断掉（虽然慢，但是等半天还是可以上），只好另想它策。\r\n4、        从网上搜到思科有针对BT、Emule和Edonkey的PLDM程序可以下载，但是需要NBAR支持，目前2514这个版本不支持，而且不知道这种P2P流量属于哪一种，也只好作罢。\r\n5、        能找到该地址对应的MAC，能拿它作什么呢？限制MAC？没在路由器上设置过。倒是可以根据MAC来限速。结果，最终利用MAC限速把故障解决，配置如下：\r\naccess-list rate-limit 100 000d.5b20.1111\r\nint e0\r\nrate-limit input access-group rate-limit 100 8000 1500 3000 conform-action drop exceed-action drop\r\n结果一设置上，CPU利用率比股市降的还快，很快就3%-4%的样子了，而且NAT条目降到40多条。\r\n哎呀，心里那个美啊～～\r\n更为高兴的时，一会就有一个声音从旁边响起：我上不去网了！！\r\n^_^一下午的辛苦，终于值得了～～～

plumlee

我说一个很笨的土方法，些法适用于不懂什么叫IP的人士：\r\n\r\n去交换机看看哪个灯闪得特猛(连两台交换机的线除外)，将那线拨了。看看CPU会不会马上下来。如果会，那恭喜你，你猜对了!!\r\n\r\n这时，也会有人说：我上不了网啦。\r\n你回答：是不是你电脑中毒啦？你先别动你的电脑，我过去看看。嘿~~

skyyxc

超级嗅探狗－－－管理员工上网行为，保证内网信息安全\r\n可以通过管理P2P软件的使用，制定互联网访问策略，保障带宽资源，支持27种P2P软件的管理。\r\nQQ:65845656

飞天雄

对于这样的人，我是从防火墙上直接封IP地址，只开发80，25

学华

限制单个IP的最大连接数和带宽,...\r\n让使用者自己决定要用什么,用BT 开的连接多了 到了限制的连接数上限就开不了网页,再限制速度 BT把带宽都用了开网页就慢,,这样让使用者自己选择 才是解决问题的正解..一味的封不是办法,

cexoyq

linux+iptables+ipp2p补丁，google搜索下，保证让那些p2p下载的人哭天叫地了。 \r\n我用的就是这个,不过,对一般的BT软件有效,但是对\"BT精灵\"好像没有什么效果,最终只能用单个IP限速来解决.

plumlee

达人们，给个实例吧，我也想做一个哟\r\n\r\n办公室用的策略。做个实例吧

navinxx

“不过，路由始终不是做nat的上选，普通的接入路由器主频才是可怜的几十MHz，在后边加个bsd做ipnat才是王道，到时候想限制谁就限制谁、想限制连接数就限制连接数、想限制流量就限制流量，怎一个爽字了得。”\r\n\r\n  能不能说具体一点呀，怎么做法？