校园网络作为数字化校园和网络教学的重要传输载体,占据着极为重要的位置。目前,大量的BT下载占据了60%~90%的网络带宽,除蚕食网络带宽之外,还助长了计算机病毒传播,一定程度上影响了正常的教学、科研和管理工作,带来了大量网络不安全因素,为了使校园网络保持正常运行的状态,许多学校对BT下载进行了控制。
限制BT应用的常用方法
网络性能受到了非均衡的突发BT流量的冲击,影响了校园网大多数用户正常使用网络,同时也影响了其它的网络应用,因此对BT应用进行控制管理是当前缓解网络压力的主要方法。下面介绍几种常用的限制BT的方法。
限制访问BT网站
BT 网站很多, 但考虑到BT 下载的特点:下载的人数越多, 速度越快; Seed 越多, 速度越快。只有比较热门BT 网站的Torrent 文件下载的人才会比较多, 一般的BT 网站去的人就比较少, 下载的人数也少, 除非他能忍受每秒几K 的速度。因此针对比较热门的BT 网站, 在安全网关上配置URL 过滤规则, 之后,在出口上启用过滤Http_Filter 功能, 禁止对它们的访问即可。
限制访问Tracker服务器
Tracker是指运行于服务器上的一个程序,这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器,就会获得一个下载人员 的名单,据此BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以HTTP的形式进行。
Tracker服务器的数量应该远少于热门BT网站的数量,很多网站都是转的其他网站的Torrent,如果可以找出这些Tracker服务器的地址,会是一种非常有效的方法。
封闭BT下载常用端口
BT一般使用TCP的6000~6009、6881~6889、8000~8009、8881~8890等端口,我们可以在防火墙或路由器上将这些端口封掉,但是现在大多数BT软件可以修改端口号,因此我们需要根据实际情况,在不影响正常业务的情况下尽可能将封闭的端口范围扩大,把一些特定的种子发布站点和端口进行封闭。
限制用户带宽
限制每个用户使用的网络带宽,可以明显缓解BT对网络的危害;同时对于一些运营性网络,完全禁止BT使用是不合理的,限制每个BT的使用带宽就成为一个比较好的选择。网络管理员可以通过一些管理软件或者网络硬件配置,针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级限制为5(0最高,7最低),带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。
限制最大连接数
在使用BT软件时,下载者会周期性地向tracker登记,使得tracker能了解它们的进度,下载者之间通过直接连接进行数据的上传和下载,这种连接使用的是 BitTorrent 对等协议,它基于TCP。因此网络管理员可以针对这些特点,对TCP最大连接数进行控制,从而达到控制BT对网络带宽的占用。
校园网限制BT实践——网络应用识别技术
NBAR (Network-Based Application Recognition)网络应用识别,是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP、UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类。PDLM (An external Packet Description Language Module)文件是用来扩展NBAR识别的协议。具体步骤为:
(1)在Cisco网站上下载一个叫:bittorrent.pdlm的文件;
(2)上传到路由器上(可以通过TFTP,FTP etc等方法);
(3)定义bt这种协议;
(4)定义Class-map和policy-map ;
(5)应用到接口上。
我校核心层及汇聚层均采用了思科交换机,在思科网站上下载bittorrent.pdlm,放到TFTP,然后拷到思科7609核心交换机,具体配置如下:
我校局域网通过这个简单的方法,并不是对BT完全封杀,而是将对于BT的下载流量限制到了32K/S,整个网络的带宽一下子就被释放了,并且再在局域网内使用BT下载时,速度基本上维持在0 K/S,大大打击了广大BT下载迷的热情度,数月后局域网内BT已罕有人用了。
校园网的出口带宽有限,过多的BT下载造成网络阻塞的情况在校园网管理中出现频率极高,通过实践表明,使用网络应用识别技术NBAR对BT下载进行控制是目前较为简单且行之有效的方法。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。