Cisco認證基礎之Cisconbar限制BT方法(3)
采用NAT的單用戶連接數限制BT
在Cisco IOS 12.3(4)T 后的IOS軟件上支持NAT的單用戶限制,即可以對做地址轉換的單個IP限制其NAT的表項數,因為p2p類軟件如bt的一大特點就是同時會有很多的連接數,從而占用了大量的NAT表項,因此應用該方法可有效限制bt的使用,比如我們為IP 10.1.1.1設置最大的NAT表項數為200;正常的網絡訪問肯定夠用了,但如果使用bt,那么很快此IP的NAT表項數達到200,一旦達到峰值,該IP的其他訪問就無法再進行NAT轉換,必須等待到NAT表項失效后,才能再次使用,這樣有效的保護了網絡的帶寬,同時也達到了警示的作用。
例如限制IP地址為10.1.1.1的主機NAT的條目為200條,配置如下:
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主機,使每臺主機的NAT條目為200,可進行如下配置:
ip nat translation max-entries all-host 200
備注:
NBAR(Network-Based Application Recognition,基于網絡的應用識別)是一種流量分類引擎,能夠通過數據包本身的描述識別該數據屬于何種應用服務。在CISCO IOS的12.0(5)XE2引入了該特性。通常NBAR會用于輔助CISCO IOS的QOS(服務質量),由NBAR將通過路由器的流量進行流量分類,CISCO IOS根據分類結果對不同類別的流量實施QOS特性。
NBAR能夠動態的尋找并分類通過路由器的四到七層流量中的協議,可以識別動態分配TCP和UDP端口號的有狀態應用(如P2P類文件共享程序),可以識別常用的TCP和UDP協議的端口號及其他類型的三層協議、包含在應用層數據里的命令等。NBAR還可以用于識別攻擊流量,并在確認流量為惡意流量之后,進行丟棄。
通過和數據包描述語言模塊(PDLM)配合,NBAR可以擁有更加強大的功能。PDLM是已經定義好的用于增強NBAR網絡協議分析和應用的識別能力的模塊,在CISCO官方網站上提供了很多已經定義好的PDLM,可以使用CCO號登陸CISCO網站進行下載。通過加載PDLM可以增強NBAR 的能力,而不需要重裝CISCO IOS軟件。下載到需要的PDLM模塊文件后,可以使用TFTP方式COPY模塊到路由器的FLASH中,然后使用ip nbar pdlm [模塊名] 命令進行加載。PDLM還允許管理員自定義協議和端口號對特定的流量進行審查。
使用NBAR功能,首先要在路由器啟動CISCO快速轉發功能,然后根據需要審查的流量使用class-map建立審查分組(類), 可以具體的定義需要審查何種應用類型,數據包長度,連接地址等。完成了流量分類,就可以通過定義policy-map來指定各種流量對應的安全規則,比如對于攻擊流量進行丟棄,使用帶寬管制對可疑流量進行帶寬限制。最后需要在接口下啟用流量策略。
NBAR也有很多缺陷,例如不支持HOST或MINE的匹配類型,不支持非IP流量,不支持組播或其他非CEF的交換模式,不支持被分片的數據包等。NBAR特性不被邏輯接口支持,包括快速以太網信道、TRUNK接口、交換虛接口等。
限制BT的其他方法請閱讀:
【編輯推薦】
