Cisco认证基础之Cisconbar限制BT方法（2）

采用ACL方法限制BT

我们可以采用以下方式来配置ACL，一种是开放所有端口，只限制bt的端口，配置如下；

！  
 
access-list 101 deny tcp any any range 6881 6890  
 
access-list 101 deny tcp any range 6881 6890 any  
 
access-list 101 permit ip any any  
 
！ 

说明：这种方法有其局限性，因为现在有的p2p软件，端口可以改变，封锁后会自动改端口，甚至可以该到80端口，如果连这个也封，那网络使用就无法正常工作了；

另外一种方式是只开放有用的端口，封闭其他所有端口；

！  
 
access-list 101 permit tcp any any eq 80  
 
access-list 101 permit tcp any any eq 25  
 
access-list 101 permit tcp any any eq 110  
 
access-list 101 permit tcp any any eq 53  
 
access-list 101 deny ip any any  
 
！ 

说明：此方法是对网络进行严格的控制，对简单的小型网络还可行，而如果是大型网络，数据流量又很复杂那么管理的难度将非常大；

还有一种方式是对端口是3000以上的流量进行限速；因为多数蠕虫病毒和p2p的端口都是大于3000的，当然也有正常的应用是采用3000以上的端口，如果我们将3000以上的端口封闭，这样正常的应用也无法开展，所以折中的方法是对端口3000以上的数据流进行限速，例如：

------------定义Class-map--------------;

！  
 
class-map match-all xs  
 
match access-group 101  
 
！ 

------------定义policy-map-------------;

policy-map xs  
 
class xs  
 
police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop  
 
！ 

------------定义ACL--------------------;

！  
 
access-list 101 permit tcp any any gt 3000  
 
access-list 101 permit udp any any gt 3000  
 
！ 

------------应用到接口上---------------;

interface f0/0  
 
service-policy input xs  
 
！