高校基于防火墙限制BT下载研究.docVIP

高校基于防火墙限制BT下载研究 　　[摘 要]校园网络作为校园信息化和教育科研的重要传输载体，起着至关重要的作用。目前，高校为数不多的BT用户，却占用着较多的网络资源；大量的BT下载应用无情地吞噬着校园网络有限的带宽资源，在一定程度上影响日常的教学、科研任务。 　　[关键词]校园网 BT 限制 　　一、BT概述 　　BT全名为Bit Torrent，是一个P2P软件，与传统FTP、HTTP等下载方式不同，使用BT的人数越多，速度越快。在没有对校园网络流量进行策略管理的时间段内，基于P2P的BT下载等非关键应用几乎占用网络 6 0 ％的带宽， 使关键性教学和科研应用得不到保障， 同时也带来了大量网络不安全因素。 为了使校园网络保持正常稳定运行的状态， 本文针对限制B T下载的问题进行如下研究。 　　二、BT下载的原理 　　传统的FTP、HTTP是把文件由服务器端传送到客户端，随着用户数量的增多，带宽和服务器会对用户人数和下载速度做限制，这样就给用户造成了诸多的不便。而BT从根本上解决了这个问题，BT采用一种一对多的方式来达到共享，在下载的同时，也在为其他用户提供上传，所以不会随着用户数的增加而降低下载速度。使用非常方便，其特点就是:下载人数越多，速度越快。不过，麻烦也随之而来:如果多个用户同时使用BT进行下载，会占用大量网络带宽，严重影响其他用户的正常工作。在一些高校的校园网，都已经出现了BT滥用网络资源的情况，影响到其他正常业务的开展。因此，在一些环境下完全有必要严格限制用户的BT下载流量。 　　三、合理限制BT下载 　　BT以高速的下载赢得了很多用户的青睐，但它同时也严重影响到正常的网络教学、科研及视频点播等服务，致使一些高校身受其害。如何根据学校网络设备的实际状况，限制用户的BT下载和合理使用BT下载。 　　1．封闭BT下载的端口 　　要解决校园网络BT下载的难题，最彻底的方法就是封闭其端口不允许BT下载。而BT下载的常用端口一般使用TCP协议的6000―6009、6881―6889、8000―8009等端口，可以在防火墙或路由器上将这些端口封掉。在不影响正常业务的情况下，通过访问控制列表把端口范围扩大，定义BT下载可能使用的端口，然后??配置QoS策略，使访问控制列表生效，将BT种子站点的端口进行封闭。 　　[F1000]acl number 3001 　　rule 10 deny tcp source-port eq 6000 destination-port eq 6009 　　访问控制列表生效后，网络带宽则释放出来，网络速度有显著的提高。虽然这种限制BT下载的方法很容易实现，但BT端口的随机，将端口范围扩大势必会影响一些正常业务的端口，从而防碍网络正常的应用服务。所以，应根据具体情况慎重选择封闭的端口。 　　2．封闭BT网站的访问 　　国内大型的BT网站，聚集了大部分的BT用户，考虑到BT下载的特点：用户数量越多，下载速度越快的特点。所以只需要获得网站服务器的IP地址，就可以在核心设备上对该地址进行控制。根据这一点，针对比较热门的BT网站，在配置访问列表，禁止校园网络用户访问BT网站的地址后，再在接口上启用报文过滤功能，禁止高校用户对BT网站的访问，即可达到限制浏览的目的。 　　[F1000]acl number 3002 　　rule 10 deny 17 any //封闭bbs.省略网站 　　该方法使用访问列表过滤报文命令来控制，实现比较容易，但是BT网站层出不穷，因此访问列表过滤报文条数也随着BT站点的增多而增多，从而会使核心设备的负载不断增加。从实际情况来看，因为BT种子站点不需要专门服务器，每台计算机都有可能成为服务器，所以要想完全监控，技术上很难实现。所做的一切，只能起到BT防范的辅助作用。 　　3．限制较大流量的网段 　　在校园网内，一般通过VLAN来划分网络，不同的VLAN，网络带宽的占有率也是不同的。通过管理软件监测，发现BT下载过多的地方集中在公共机房、电子阅览室等处的个别VLAN中。因此许多网络管理员采用限制BT下载速度的办法来减少BT用户的数量，在核心设备上定义各个VLAN允许访问的地址，设置VLAN下用户BT下载时的流量。当网络用户不堪忍受如此慢的下载速度时，有可能就会放弃使用BT下载，从而减少BT下载的流量，这一做法对于网络浏览用户则没有任何影响。 　　[F1000]qos carl 10 destination-ip-address range to 00 per-address [F1000]interface Ethernet 1/0 　　qos car inbound carl 10 cir 640 cbs 6400 ebs 0 g