采用ACL方法限制BT

我們可以采用以下方式來配置ACL，一種是開放所有端口，只限制bt的端口，配置如下；

！  
 
access-list 101 deny tcp any any range 6881 6890  
 
access-list 101 deny tcp any range 6881 6890 any  
 
access-list 101 permit ip any any  
 
！ 

說明：這種方法有其局限性，因為現在有的p2p軟件，端口可以改變，封鎖后會自動改端口，甚至可以該到80端口，如果連這個也封，那網絡使用就無法正常工作了；

另外一種方式是只開放有用的端口，封閉其他所有端口；

！  
 
access-list 101 permit tcp any any eq 80  
 
access-list 101 permit tcp any any eq 25  
 
access-list 101 permit tcp any any eq 110  
 
access-list 101 permit tcp any any eq 53  
 
access-list 101 deny ip any any  
 
！ 

說明：此方法是對網絡進行嚴格的控制，對簡單的小型網絡還可行，而如果是大型網絡，數據流量又很復雜那么管理的難度將非常大；

還有一種方式是對端口是3000以上的流量進行限速；因為多數蠕蟲病毒和p2p的端口都是大于3000的，當然也有正常的應用是采用3000以上的端口，如果我們將3000以上的端口封閉，這樣正常的應用也無法開展，所以折中的方法是對端口3000以上的數據流進行限速，例如：

------------定義Class-map--------------;

！  
 
class-map match-all xs  
 
match access-group 101  
 
！ 

------------定義policy-map-------------;

policy-map xs  
 
class xs  
 
police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop  
 
！ 

------------定義ACL--------------------;

！  
 
access-list 101 permit tcp any any gt 3000  
 
access-list 101 permit udp any any gt 3000  
 
！ 

------------應用到接口上---------------;

interface f0/0  
 
service-policy input xs  
 
！ 

限制BT的其他方法請閱讀：

Cisco認證基礎之Cisconbar限制BT方法（1）

Cisco認證基礎之Cisconbar限制BT方法（3）

【編輯推薦】

1. cisco路由器之關閉一些不必要的服務 上篇
2. 思科基礎知識：管理Cisco互聯網絡（1）
3. 思科基礎知識：Cisco IOS簡介（1）
4. Cisco基礎之網際互連