系列交换机硬件过滤器禁止.pdfVIP

使用AT-8900/9900 系列交换机硬件过滤器禁止BT 下载 使用AT-8900/9900 系列交换机 硬件过滤器禁止BT 下载 （适用）AT-8900/9900系列交换机 ATC-TS1002 V1.0 2005-11-21 Connecting The IP World Page 1 of 12 使用AT-8900/9900 系列交换机硬件过滤器禁止BT 下载 1 概述 本文介绍如何使用AT-8900/9900 系列交换机的硬件过滤器功能禁止BT 下载。 2 实施需求 实现该功能有以下实施需求： AT-8900/9900 系列交换机； 软件版本在2.7.5 以上。 3 实现原理 3.1 AT-8900/9900 系列交换机Layer 5 Classifier AT-8900/9900系列交换机在软件版本2.7.5 以后，Classifier加入了新的参数L5BYTE，AT- 8900/9900系列交换机具备了识别TCP/UDP负载的能力。这就意味着使用AT-8900/9900识别 TCP/UDP数据流将不再局限于端口号，而是可以依据TCP/UDP负载中的某些字段，我们可以利用 该功能配合硬件过滤器或QOS，隔离网络攻击，识别封锁P2P应用。 新的Classifier命令如下： CREate CLASSifier=rule-id [L5BYTE01=byteoffset,bytevalue[,bytemask]] [L5BYTE02=byteoffset,bytevalue[,bytemask]] ….. [L5BYTE16=byteoffset,bytevalue[,bytemask]] byteoffset是一个0到37之间的十进制数，该参数指定需要匹配的字节的位置。该位置是从TCP或 UDP包头后算起的，如：TCP包头后第一个字节的byteoffset就是“0 ”； bytevalue是一个两位的16进制数，也就是需要匹配的byteoffset位置的具体数值； bytemask是一个两位的16进制数，是一个可选参数。将其换为二进制数后，来表示bytevalue字 段中那一位需要匹配，那一位不需要匹配，缺省值是“FF”，既全匹配。 注意：该Classifier只能匹配TCP/UDP负载数据，不能用来匹配数据包头数据，而且限制为IP数据 包前80个字节内数据。 Connecting The IP World Page 2 of 12 使用AT-8900/9900 系列交换机硬件过滤器禁止BT 下载 3.2 BT 协议分析 BT(BitTorrent)是一种架构于TCP/IP 协议之上的P2P 文件传输协议，与传统C/S 类型协议相 比，无明显的客户机/服务器概念，在用户下载的同时，用户也在上传，也就是说使用的人越多， 下载越快，BT 的优越性也体现在这里。 我们将使用AT-8900/9900 系列交换机的Layer 5 classifier 功能配合硬件过滤器，识别/封锁经过 交换机的BT 数据流，因此需要对BT 协议的运作有必要的认识。 3.2.1 基于标准协议的BT 下载 一次常规的BT 下载要经历如下过程：首先需要得到相应的.torrent 文件，也就是种子文件，然 后使用BT 客户端软件进行下载。BT 客户端首先解析.torrent 文件得到Tracker 地址，然后连接 Tracker 服务器。Tracker 服务器回应下载者的请求，提供其他下载者（包括发布者）的信息列表。 下载者再据此连接其他下载者，根据.torrent 文件，两者分别对方告知自己已经有的块，然后下载者 之间通过直接连接进行数据的上传和下载，交换对方没有的数据。 在上述过程中，下载者和Tracker 服务器的交互是通过HTTP 协议完成的，而且在下载过程 中，下载者需要周期性的向Tracker 登记，以便Tracker 能了解下载者们的进度。下载者之间的连接 是通过基于TCP 的BitTo