Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(3)
采用NAT的單用戶連接數(shù)限制BT
在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉(zhuǎn)換的單個IP限制其NAT的表項數(shù),因為p2p類軟件如bt的一大特點就是同時會有很多的連接數(shù),從而占用了大量的NAT表項,因此應(yīng)用該方法可有效限制bt的使用,比如我們?yōu)镮P 10.1.1.1設(shè)置最大的NAT表項數(shù)為200;正常的網(wǎng)絡(luò)訪問肯定夠用了,但如果使用bt,那么很快此IP的NAT表項數(shù)達(dá)到200,一旦達(dá)到峰值,該IP的其他訪問就無法再進(jìn)行NAT轉(zhuǎn)換,必須等待到NAT表項失效后,才能再次使用,這樣有效的保護(hù)了網(wǎng)絡(luò)的帶寬,同時也達(dá)到了警示的作用。
例如限制IP地址為10.1.1.1的主機(jī)NAT的條目為200條,配置如下:
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主機(jī),使每臺主機(jī)的NAT條目為200,可進(jìn)行如下配置:
ip nat translation max-entries all-host 200
備注:
NBAR(Network-Based Application Recognition,基于網(wǎng)絡(luò)的應(yīng)用識別)是一種流量分類引擎,能夠通過數(shù)據(jù)包本身的描述識別該數(shù)據(jù)屬于何種應(yīng)用服務(wù)。在CISCO IOS的12.0(5)XE2引入了該特性。通常NBAR會用于輔助CISCO IOS的QOS(服務(wù)質(zhì)量),由NBAR將通過路由器的流量進(jìn)行流量分類,CISCO IOS根據(jù)分類結(jié)果對不同類別的流量實施QOS特性。
NBAR能夠動態(tài)的尋找并分類通過路由器的四到七層流量中的協(xié)議,可以識別動態(tài)分配TCP和UDP端口號的有狀態(tài)應(yīng)用(如P2P類文件共享程序),可以識別常用的TCP和UDP協(xié)議的端口號及其他類型的三層協(xié)議、包含在應(yīng)用層數(shù)據(jù)里的命令等。NBAR還可以用于識別攻擊流量,并在確認(rèn)流量為惡意流量之后,進(jìn)行丟棄。
通過和數(shù)據(jù)包描述語言模塊(PDLM)配合,NBAR可以擁有更加強(qiáng)大的功能。PDLM是已經(jīng)定義好的用于增強(qiáng)NBAR網(wǎng)絡(luò)協(xié)議分析和應(yīng)用的識別能力的模塊,在CISCO官方網(wǎng)站上提供了很多已經(jīng)定義好的PDLM,可以使用CCO號登陸CISCO網(wǎng)站進(jìn)行下載。通過加載PDLM可以增強(qiáng)NBAR 的能力,而不需要重裝CISCO IOS軟件。下載到需要的PDLM模塊文件后,可以使用TFTP方式COPY模塊到路由器的FLASH中,然后使用ip nbar pdlm [模塊名] 命令進(jìn)行加載。PDLM還允許管理員自定義協(xié)議和端口號對特定的流量進(jìn)行審查。
使用NBAR功能,首先要在路由器啟動CISCO快速轉(zhuǎn)發(fā)功能,然后根據(jù)需要審查的流量使用class-map建立審查分組(類), 可以具體的定義需要審查何種應(yīng)用類型,數(shù)據(jù)包長度,連接地址等。完成了流量分類,就可以通過定義policy-map來指定各種流量對應(yīng)的安全規(guī)則,比如對于攻擊流量進(jìn)行丟棄,使用帶寬管制對可疑流量進(jìn)行帶寬限制。最后需要在接口下啟用流量策略。
NBAR也有很多缺陷,例如不支持HOST或MINE的匹配類型,不支持非IP流量,不支持組播或其他非CEF的交換模式,不支持被分片的數(shù)據(jù)包等。NBAR特性不被邏輯接口支持,包括快速以太網(wǎng)信道、TRUNK接口、交換虛接口等。
限制BT的其他方法請閱讀:
Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(1)
Cisco認(rèn)證基礎(chǔ)之Cisconbar限制BT方法(2)
【編輯推薦】
