高校基于防火墙限制BT下载的研究

[摘 要]校园网络作为校园信息化和教育科研的重要传输载体，起着至关重要的作用。目前，高校为数不多的BT用户，却占用着较多的网络资源；大量的BT下载应用无情地吞噬着校园网络有限的带宽资源，在一定程度上影响日常的教学、科研任务。

[关键词]校园网 BT 限制

一、BT概述

BT全名为Bit Torrent，是一个P2P软件，与传统FTP、HTTP等下载方式不同，使用BT的人数越多，速度越快。在没有对校园网络流量进行策略管理的时间段内，基于P2P的BT下载等非关键应用几乎占用网络 6 0 ％的带宽， 使关键性教学和科研应用得不到保障， 同时也带来了大量网络不安全因素。 为了使校园网络保持正常稳定运行的状态， 本文针对限制B T下载的问题进行如下研究。

二、BT下载的原理

传统的FTP、HTTP是把文件由服务器端传送到客户端，随着用户数量的增多，带宽和服务器会对用户人数和下载速度做限制，这样就给用户造成了诸多的不便。而BT从根本上解决了这个问题，BT采用一种一对多的方式来达到共享，在下载的同时，也在为其他用户提供上传，所以不会随着用户数的增加而降低下载速度。使用非常方便，其特点就是:下载人数越多，速度越快。不过，麻烦也随之而来:如果多个用户同时使用BT进行下载，会占用大量网络带宽，严重影响其他用户的正常工作。在一些高校的校园网，都已经出现了BT滥用网络资源的情况，影响到其他正常业务的开展。因此，在一些环境下完全有必要严格限制用户的BT下载流量。

三、合理限制BT下载

BT以高速的下载赢得了很多用户的青睐，但它同时也严重影响到正常的网络教学、科研及视频点播等服务，致使一些高校身受其害。如何根据学校网络设备的实际状况，限制用户的BT下载和合理使用BT下载。

1．封闭BT下载的端口

要解决校园网络BT下载的难题，最彻底的方法就是封闭其端口不允许BT下载。而BT下载的常用端口一般使用TCP协议的6000―6009、6881―6889、8000―8009等端口，可以在防火墙或路由器上将这些端口封掉。在不影响正常业务的情况下，通过访问控制列表把端口范围扩大，定义BT下载可能使用的端口，然后再配置QoS策略，使访问控制列表生效，将BT种子站点的端口进行封闭。

[F1000]acl number 3001

rule 10 deny tcp source-port eq 6000 destination-port eq 6009

访问控制列表生效后，网络带宽则释放出来，网络速度有显著的提高。虽然这种限制BT下载的方法很容易实现，但BT端口的随机，将端口范围扩大势必会影响一些正常业务的端口，从而防碍网络正常的应用服务。所以，应根据具体情况慎重选择封闭的端口。

2．封闭BT网站的访问

国内大型的BT网站，聚集了大部分的BT用户，考虑到BT下载的特点：用户数量越多，下载速度越快的特点。所以只需要获得网站服务器的IP地址，就可以在核心设备上对该地址进行控制。根据这一点，针对比较热门的BT网站，在配置访问列表，禁止校园网络用户访问BT网站的地址后，再在接口上启用报文过滤功能，禁止高校用户对BT网站的访问，即可达到限制浏览的目的。

[F1000]acl number 3002

rule 10 deny 216.45.49.117 any //封闭bbs.省略网站

该方法使用访问列表过滤报文命令来控制，实现比较容易，但是BT网站层出不穷，因此访问列表过滤报文条数也随着BT站点的增多而增多，从而会使核心设备的负载不断增加。从实际情况来看，因为BT种子站点不需要专门服务器，每台计算机都有可能成为服务器，所以要想完全监控，技术上很难实现。所做的一切，只能起到BT防范的辅助作用。

3．限制较大流量的网段

在校园网内，一般通过VLAN来划分网络，不同的VLAN，网络带宽的占有率也是不同的。通过管理软件监测，发现BT下载过多的地方集中在公共机房、电子阅览室等处的个别VLAN中。因此许多网络管理员采用限制BT下载速度的办法来减少BT用户的数量，在核心设备上定义各个VLAN允许访问的地址，设置VLAN下用户BT下载时的流量。当网络用户不堪忍受如此慢的下载速度时，有可能就会放弃使用BT下载，从而减少BT下载的流量，这一做法对于网络浏览用户则没有任何影响。

[F1000]qos carl 10 destination-ip-address range 192.168.1.2 to 192.168.1.100 per-address [F1000]interface Ethernet 1/0

qos car inbound carl 10 cir 640 cbs 6400 ebs 0 green pass red discard

[F1000-Ethernet1/0]interface dialer2

qos car inbound carl 10 cir 640 cbs 6400 ebs 0 green pass red discard

[F1000]interface Ethernet 0/0

qos car inbound carl 20 cir 640 cbs 6400 ebs 0 green pass red discard

4．合理分配BT下载的时间

在校园正常工作时间内，禁止BT下载，BT下载的流量与正常业务不会产生冲突，从而充分保护了校园网络业务的正常运行。在非工作时间内，开放BT下载，以便使用户能充分利用到校园网络的资源。当然限制BT下载时间，需要有一定的功能的网络设备。首先需要指定正常的工作时间；其次通过访问控制列表禁止校园网络用户访问BT站点及连接端口；最后执行命令使TCP/IP协议在特定时间内禁止访问控制列表中的端口。此方法实现起来比较容易，虽然不能全面禁止BT的下载，但在一定范围却能起到较好的作用。

[F1000] time-range work 08:00 to 18:00 working-day

[F1000]acl number 3001

[F1000-acl-adv-3001]rule 10 deny ip source any destination 192.168.1.5 0.0.0.0 time-range work

它的优点在于工作时间内避免了BT下载对整个网络带宽的占用，保障关键业务正常运行，同时提高非工作时间网络的利用率，把BT下载流量尽量限制在非工作时间内。

总的来说，BT技术非常适合Intemet结构，能够使网络资源的使用最大化。在很多情况下，BT能够节省网络基础资源，但在BT下载方式下经过出口的流量就会明显减少，因为校园网用户可以互相下载。从技术角度来说，BT在解决大容量文件的传输问题上确实是一种很好的技术，而BT应用也已成为一种趋势，所以，在不同的校园网络内应根据实情况对BT下载做出不同的处理。

四、结论

本文主要讨论了BT下载对高校的危害，如何有效的利用网络设备防火墙，对BT进行限制。在非工作时间合理利用BT，保证校园网业务的正常开展，使广大的师生员工受益。

参考文献：

[1]杨林,李长齐,寸江涛. 网络BT流量“堵”与“疏”的ACL配置研究,2010,(6).

[2]李和平. 关于校园网络BT下载的探讨(自然科学版) ,2007,(1).