Cisco_NBAR封殺BT和電驢下載

    NBAR(Network-Based Application Recognition) 的意思是網絡應用識別。 NBAR是一種動態能在四層到七層發現協議的技術。它不同于ACL，僅僅依靠端口號進行對應用服務的判斷，更加精準的是可以通過數據包本身的描述進行識別判斷，該數據屬于哪一種服務，可以對使用動態分配TCP/UDP端口號（如P2P下載軟件）的應用程序和HTTP流量等進行分類。

    實際上NBAR的應用原理在于對網絡應用層面的監控，可以進行代碼匹配來識別數據報的具體應用，例如FTP、WEB、BT、電驢等等。即便所應用的服務端口變化，NBAR也可以識別出來具體的服務。NBAR首先可以應用于網絡監控，判斷究竟在你的網內哪種服務占據著最主要的流量，以便于配合QOS來做流量的修整。

PDLM它是NBAR針對于網絡高層應用的主要識別原理，從Cisco IOS 12.0之后引入了NBAR的概念，由于IOS的版本高低不同，較高的IOS已經內嵌支持bittorrent和eDonkey兩種協議，如果您的設備目前沒有能力發現BT和電驢的流量，主要是不支持這兩個協議。

1.上傳PDLM, 如果IOS已經支持這兩種協議，則無需上傳PDLM

cisco#copytftp flash  //采用TFTP協議，復制TFTP文件到路由器flash

Addressor name of remote host []? 192.168.10.10 //TFTP服務器的IP地址

Sourcefilename []? bittorrent.pdlm //上傳支持BT協議的PDLM

Destinationfilename [bittorrent.pdlm]?  //上傳后的目的文件名

Accessingtftp://192.168.10.10/bittorrent.pdlm...

Eraseflash: before copying? [confirm]n  

//一定要選擇NO，不格式化Flash，否則PDLM是上傳到Flash中了，Flash中的其他的文件都被格式化了

cisco#showflash //查看flash確認已經上傳成功

Systemflash directory:

File  Length  Name/status

  1  15824768  3600_12_3(22)(fc2).bin 

  2   3100    bittorrent.pdlm 

[15827996bytes used, 17202144 available, 33030140 total]

32768Kbytes of processor board System flash (Read/Write)

2.第二步：通過IP NBAR命令加載PDLM模塊到內存中

cisco(config)#ipnbar pdlm flash:bittorrent.pdlm

cisco(config)#ipnbar pdlm flash:eDonkey.pdlm

3.使用Class-map來對流量進行分類標記

cisco(config)#class-mapmatch-any bt

cisco(config-cmap)#matchprotocol bittorrent

cisco(config-cmap)#matchprotocol edonkey

“match-any”匹配上其中一種流量，就執行分類

“match-all”匹配所有流量，才分類

//使用Class-map對流量進行分類，Class-map的名字為BT

//Match 對象很多，可以ACL或者協議等

4.使用Policy-map對分類的流量給定丟棄的策略

cisco(config)#policy-mapDeny-bt

//流量已經分類，使用Policy-map的目的是針對這些分類的流量給定一個什么樣的策略。

這里先定義policy-map 的名字為Deny-bt 名稱可以是任意字符

cisco(config-pmap)#classbt

//在Policy-map中關聯Class-map 的名字

//policy-map給這些滿足分類流量的策略是丟棄，你可以做做限速，可以讓下載BT，但是速度限制20Kbps

cisco(config-pmap-c)#drop

cisco(config)#ip cef  //要使用NBAR必須啟用 Cisco 快速轉發

5.應用在連接Internet的接口下

cisco(config)#int e0/2  //在接口下要調用Policy-map 的策略

cisco(config-if)#ip nbar protocol-discovery//開啟接口下NBAR

cisco(config-if)#service-policyoutput Deny-bt //把策略應用E0/2的出方向

cisco(config-if)#service-policyinput Deny-bt //把策略應用E0/2的入方向

6.在路由器上檢查配置

   Show class-map

   Show Policy-map

   Show policy-mapinterface e0/2