对于局域网网络管理人员来说，P2P类型的下载实在让人烦恼，因为会大量占用网络资源，因此如何限制P2P下载就是网管的重要工作，而限制BT等P2P下载的方法很多，当然最简单的方法是直接部署局域网管理软件，比如AnyView（网络警）网络监控软件（www.amoisoft.com),但多一个方法多一条路，本文详细介绍如何通过设置局域网路由器实现禁止BT下载、限制P2P下载、封堵P2P协议的有效方法。

当前，在企事业单位的网络管理中，最令网管头疼的问题就是局域网内经常有人用各种下载工具，如迅雷、超级旋风、网际快车等一些新兴的P2P下载工具，以及一些BT、电驴等传统的P2P软件来下载各种娱乐性的影视资料。因为这些下载工具的使用，局域网的宽带资源常常被占尽，导致企业关键的业务系统，如ERP、OA、视频会议、VPN等不能正常工作，严重影响了企业的工作效率和各项业务的正常进行，甚至导致网内打开网页、发送电子邮件都十分困难。所以，要想保持网络畅通，保证网络资源的合理利用，必须对局域网的下载行为进行严格的控制，同时，也要实时掌控局域网各个主机的带宽占用情况，防止由于局域网内个别主机占用带宽过大而影响局域网其他主机的上网活动。

早期对一些下载工具的限制可以通过路由器、交换机或者防火墙等网络设备来实现，这种原理一般是通过限制这些文件的后缀名的方式来限制这类文件的普通HTTP协议的传输。但是近几年随着P2P软件的飞速发展以及国内上网带宽的扩容，催生了一大批采用P2P技术的下载软件，如当前国内最流行的迅雷、超级旋风（QQ旋风）、网际快车等等。这些流行的P2P软件，通过吸收已经成熟的P2P协议，如BT协议、电驴协议，又吸收一些多点HTTP方式的下载，从而使得这些下载工具不但支持传统的BT种子文件的下载，同时又支持多点HTTP下载，并且这种下载大多采用多线程、点对点的方式，所以下载速度极为惊人；同时这些P2P软件的传输方式也有了很大的革新，没有固定的传输端口，并且下载服务器成集群化的趋势，同时在传输的过程中常常采用加密的P2P协议，从而使得传输的特征无法识别，从而也就无法通过传统的方式来进行封堵了。

AnyView（网络警）网络监控软件系统可以封堵各种P2P软件，包括各种网络视频、网络电视软件以及流媒体软件；同时，AnyView（网络警）网络监控软件系统还集成了国内所有流行的在线视频网址的拦截功能，可以杜绝局域网内观看在线视频的行为，从而也杜绝了因为观看在线视频而过量占用局域网网络流量的行为。

同时，AnyView（网络警）网络监控软件系统还可以实时显示局域网各个电脑的上网流量，也就是上网带宽，并可以对每个主机的网速进行限制，从而防止局域网主机过量占用带宽而导致其他人上网慢的现象，合理分配局域网的网络资源，从而保证局域网用户相对均衡地使用网络资源，保证员工的工作可以有条不紊地进行。

通过对P2P下载软件、P2P视频软件、在线视频的控制功能以及通过限制局域网各个主机的带宽流量，从而阻止了局域网内无效的上网行为，将不良的上网行为的负面影响降低到最小；同时，通过部署网络监控软件，可以对上班时间干私活的员工以威慑和警示，使得其更好地利用网络来进行工作，提升员工的办公效率，也提升了网络资源的利用效率。

方法1:封锁BT端口

大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行.对BT软件,我们可以尝试封它的端口.一般情况下,BT软件使用的是6880-6890端口,小金在公司的核心路由器上使用以下命令将6880-6890端口全部封锁.

access-list 101 deny tcp any any range 6880 6890

access-list 101 deny tcp any range 6880 6890 any

access-list 101 permit ip any any

接着进入相应的端口,输入ip access-group 101 out 使访问控制列表生效.配置之后,网络带宽就会马上释放出来,网络速度得到提升.

但是,没过几天网络速度又减慢了,BT软件的端口明明被封了,什么软件还在占用大量的带宽呢,小金使用SNIFFER检测到几个不常用的端口的数据流量非常大,原来很多人使用第三方的BT软件(如比特精灵,BITCOMET)进行下载,这些软件可以自定义 传输数据的端口,修改为没有被封的端口后又可以进行BT下载了.

(注:缺点,由于BT端口变化较大,所以用ACL封端口收效甚微,而且配置条数多执行起来比较费劲,另外大量的ACL也占用了路由器的CPU资源,影响了其它服务

优点:利用访问控制列表ACL封锁BT比较好管理,配置起来也很容易,使用相对而言比较灵活.通过ACL可以有效非常有效封锁官方BT软件)

方法2:封锁BT服务器

既然无法有效的从本地端口进行封锁,那么只好从远程目标的地址入手.在进行BT下载时,本机首先要连接远端的BT服务器,从服务器下载种子列表再连接相应的种子,所以小金从各大BT论坛下载BT种子,以便获得BT服务器的地址.启动BITCOMET后选择 服务器列表,在TRACKER服务器处可以看到BT服务器的地址,如(bt.ydy.com)接着通过NUSLOOKUP或者PING命令可以得到服务器地址为202.103.X.X

获得服务器地址后就可以到核心服务器上对该地址进行封锁.具体命令为:access-list 102 deny tcp any 202.103.9.83 0.0.0.0

最后小金在网络出口端口上运行ip access-group 102 out 命令后,使该访问控制列表生效,这样网内用户就不能访问这个BT服务器了,同时该服务器提供的所有BT种子都无法使用,接下来,收信更多的的BT服务器的IP地址,将它们一一添加到控制列表102里,看着员工启动第三方的BT软件后连接种子数为0,下载速 度也为0的时候,终于松了一口气.

没过多久,公司再次出现网络运行缓慢的问题,小金通过监控系统发现又有人通过BITCOMET下载电影,虽然速度不如从前,但仍占用了相当大的带宽,是什么原因使用户又可以连接BT服务器呢,原来,在访问列表中使用的IP地址进行过滤,而一旦BT服务器的 IP地址发生了变化,针对IP地址的封锁就没有用了

(缺点:BT服务器很多,要找到每个服务器的IP地址然后进行封锁非常麻烦,而且也容易漏掉某些服务器,访问控制列表只能封锁IP地址不能封锁域名,对于IP地址经常变化的BT服务器来说,封锁是比较烦的.

优点:该方法能有效的封锁大批的BT服务器,网管通过简单的管理服务器IP地址就能封锁禁止BT软件的使用,对于自定义端口的BT软件起到了非常有效的封锁作用)

方法3:加载PDLM模块

使用CISCO公司出品的PDLM模块可以省去我们配置路由策略的工作,封锁效果非常好.上文介绍的两种方法.一个是对数据包使用的端口进行封锁,一个是对数据包的目的地址进行封锁,虽然在一定范围内有效,但不能起到全面禁止BT的作用,通过PDLM+N BAR的方法来封锁BT就存在这个问题了.

CISCO在其官方网站提供了三个PDLM模块,分别为KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用来封锁KAZAA,BT,电驴,在此我们就封锁BT下载为例,

建立一个TFTP站点,将bittorrent.pdlm复制到该站点,在核心路由器中使用ip nbar pdlm tftp://TFTP站点的IP/bittorrent.pdlm命令加载bittorrent.pdlm模块

接下来设置路器策略,具体命令如下:

class-map match-any bit

//创建一个CLASS_MAP名为BIT

match protocol bittorrent

//要求符合模块bittorrent的标准!

policy-map limit-bit

//创建一个POLICY-MAP名为LIMIT-BIT

class bit

//要求符合刚才定义的名为BIT的CLASS-MAP

drop

//如果符合则丢数据包!

interface gigabitEthernet0/2

//进入网络出口那个接口

service-policy input limit-bit

//当有数据包进入时启用LIMIT-BIT路由策略

service-policy output limit-bit

//当有数据包出的时候启用LIMIT-BIT路由策略

如果不想每次启动路由器的都要手工加载TFTP上的bittorrent.pdlm,可以把这个PDLM文件上传到路由器的FLASH中,然后选择TFTP服务器的IP地址即可.提示:封锁KAZAA或者是EDONKEY时,在路由器配置中将"match protocol后的bittorrent替换为KAZAA2或者EDONKEY即可,其它配置和封锁BT一样,

通过NBAR加载PDLM模块法封锁BT软件后,小金已经完全断绝了公司内部的BT使用,所有员工都能安心工作,网络速度也恢复到以前的稳定值了,

(缺点:该方法配置起来相对麻烦,指令非常多,而且路由器每次启动都要重新指定PDLM文件,如果将PDLM文件上传到路由器的FLASH中又会占用不少空间,通过路由策略进行封锁BT软件的同时也会占用路由器大量的CPU与内存的资源,影响了数据包的传 输速度

优点:通过该方法可以彻底封锁BT下载)

以上详细介绍如何通过设置局域网路由器实现禁止BT下载、限制P2P下载、封堵P2P协议的有效方法，希望对广大网络管理人员有所帮助。