华为路由器 Qos ACL 流量控制

1.3 路由配置注意事项

RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。

例如：

ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60

ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60

ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60

ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60

ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60

1.4 进行IP-MAC地址绑定

由于网吧上网人员比较复杂，可能有人有意或无意地更改IP地址，或者使用网络执法官等软件进行恶意地破坏，通过在网关和客户机上都进行IP-MAC地址绑定（静态ARP），可以有效地防止这类以ARP欺骗为基础的攻击。

在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。

在客户机上可以建立一个批处理文件放到启动组里，批处理文件的内容就是对网关进行IP-MAC绑定，这样每次启动就都会自动进行设置。

客户机设置静态ARP的实例：

@echo off

arp –s 192.168.1.1 00-0f-e2-21-a0-01

1.5 限制P2P应用（根据实际情况可选）

P2P应用对于网吧带宽来说是致命杀手，一个P2P客户端就有可能占用总带宽的90％以上，这会严重影响网吧的其他用户的正常上网，尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择，但目前还没有非常有效的方法。下面分别介绍几种常用的方法。

1.5.1 通过ACL限制端口

通过ACL限制端口。一是只限制P2P的端口，开放所有的其他端口，这种方法有其局限性，因为现在有的p2p软件，端口可以改变，封锁后会自动改端口，甚至可以改到80端口，如果连这个也封，那网络使用就无法正常工作了；二是只开放有用的端口，封闭其他端口，这种方法是对网络进行严格的控制，对简单的小型网络还可行，而如果是大型网络，数据流量又很复杂那么管理的难度将非常大；因此这两种方法对网吧都不太适合。

1.5.2 结合QOS和ACL限制端口流量

结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是大于3000的，当然也有正常的应用是采用3000以上的端口，如果我们将3000以上的端口封闭，这样正常的应用也无法开展，所以折中的方法是对端口3000以上的数据流进行限速。在实际应用中可能需要根据实际情况更改端口号的范围以使对其他应用的影响降低到最小。

例如：

在广域网接口和QOS结合使用的ACL。

acl number 3100

rule 1000 permit tcp destination-port gt 3000

rule 1010 permit udp destination-port gt 3000

在广域网接口配置的QOS。

#

traffic classifier p2pin operator or

if-match acl 3100

#

traffic behavior p2pin

car cir 2048000 cbs 1024000 ebs 0 green pass red discard

#

qos policy p2pin

classifier p2pin behavior p2pin

#

interface Ethernet1/0

ip address 162.1.1.2 255.255.255.252

qos apply policy p2pin inbound

#

在局域网接口和QOS结合使用的ACL。

acl number 3300

rule 1000 permit tcp source-port gt 3000

rule 1010 permit udp source-port gt 3000

在局域网接口配置的QOS。

#

traffic classifier p2pout operator or

if-match acl 3300

#

traffic behavior p2pout

car cir 2048000 cbs 1024000 ebs 0 green pass red discard

#

qos policy p2pout

classifier p2pout behavior p2pout

#

interface Ethernet3/0

ip address 192.168.1.1 255.255.255.0

qos apply policy p2pout inbound

#

1.5.3 限制单机的NAT会话数

以后的VRP软件会支持NAT的单用户限制，即可以对做地址转换的单个IP限制其NAT的TCP连接数，因为P2P类软件如BT的一大特点就是同时会有很多的连接数，从而占用了大量的NAT表项，因此应用该方法可有效限制BT的使用，比如我们为IP 192.168.1.2设置最大的NAT表项数为100；正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT表项数会达到100，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等到部分NAT表项失效后，才能再次使用，这样既有效的保护了网络的带宽，也达到了警示的作用。

1.5.4 在客户机上通过软件限制

在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需要禁止各种软件的运行，建议需要禁止P2P应用的网吧采用这种方式。

以上我们总结了目前可用的限制P2P软件的一些方法，具体采用哪种方法只能根据具体网络的状况来定，当然也可以将几种方法结合起来使用。

2 附：限制常见P2P软件端口的ACL

acl number 3100

rule 1000 deny tcp destination-port eq 2710

rule 1010 deny tcp destination-port eq 6969

rule 1020 deny tcp destination-port range 8881 8999

rule 1030 deny tcp destination-port eq 10137

rule 1040 deny tcp destination-port eq 16881

rule 1050 deny tcp destination-port range 4661 4662

rule 1060 deny udp destination-port eq 4665

rule 1070 deny udp destination-port eq 4672