故障现象:
20人左右的小小网络,用Cisco 2514路由器作NAT上网,CPU利用率高达95%以上,路由器NAT条目400条左右,其中某一个内网地址的NAT条目很多,占80%左右,源端口号为UDP的4516端口,固定,目标端口不固定,而且目标地址很杂,没有规律。看似不像病毒,像P2P软件下载,如PP、BT等。路由器端口流量比较大。
处理过程:
1、 一开始,就简单的设置了访问控制列表,把该地址给过滤了,但是接着地址就变了(敌人反应也很快啊)。
2、 接着,做了针对源UDP端口的限制,但是接着端口号就换了(道高一尺,魔高一丈!放松不得),而且占用的NAT资源更多了,CPU利用率达到100%,Telnet根本登陆不上去,Console都很慢。敌人加速破坏,我方不得不采取退守,把外网线给拔了,CPU接着下来了。设置NAT条目的上限为200,插上网线,但是很不幸,200的上限很快就达到,而且CPU没有下来,估计这个时候肯定有上不去网的了,因为200条,该IP就占了90%左右。如果可以把该IP的NAT条目限制住,可能会有点戏。
3、 CPU持续高。难道堂堂一个CCIE连这点问题都解决不了吗?去思科网站上找找看。找到一个12.3.4T版本可以支持针对单个地址限制NAT条目: ip nat trans max,但是2514好像没有这个版本可以下载。从思科网站上下载了一个12.3.5的版本,但是内网速率奇慢,升级总是不成功,又不好意思去把大家的网给断掉(虽然慢,但是等半天还是可以上),只好另想它策。
4、 从网上搜到思科有针对BT、Emule和Edonkey的PLDM程序可以下载,但是需要NBAR支持,目前2514这个版本不支持,而且不知道这种P2P流量属于哪一种,也只好作罢。
5、 能找到该地址对应的MAC,能拿它作什么呢?限制MAC?没在路由器上设置过。倒是可以根据MAC来限速。结果,最终利用MAC限速把故障解决,配置如下:
access-list rate-limit 100 000d.5b20.1111
int e0
rate-limit input access-group rate-limit 100 8000 1500 3000 conform-action drop exceed-action drop
结果一设置上,CPU利用率比股市降的还快,很快就3%-4%的样子了,而且NAT条目降到40多条。
哎呀,心里那个美啊~~
更为高兴的时,一会就有一个声音从旁边响起:我上不去网了!!
^_^一下午的辛苦,终于值得了~~~
剑心通明 回复于:2005-07-20 09:14:18
000d.5b20.1111 这个是谁的mac地址?
t920 回复于:2005-07-20 12:27:46
嗯~~ip nat trans max这个命令应该是用来限制NAT表里的连接数的,并不能针对单个ip起作用。
不过,路由始终不是做nat的上选,普通的接入路由器主频才是可怜的几十MHz,在后边加个bsd做ipnat才是王道,到时候想限制谁就限制谁、想限制连接数就限制连接数、想限制流量就限制流量,怎一个爽字了得。
kaichun 回复于:2005-07-20 12:48:54
不错的思路,对捣乱分子进行限速,而不是完全杜绝,这是一个好办法。
不过等他水平长进以后,学会更换MAC地址以后,你 的麻烦就又来了。
jackylau 回复于:2005-07-20 13:53:19
引用:原帖由 "kaichun" 发表:
不错的思路,对捣乱分子进行限速,而不是完全杜绝,这是一个好办法。
不过等他水平长进以后,学会更换MAC地址以后,你 的麻烦就又来了。
9494,改mac应该不难吧?
t920 回复于:2005-07-21 12:15:48
引用:原帖由 "jackylau" 发表:
9494,改mac应该不难吧?
这个可以通过交换机mac地址绑定来进行限制。
t28 回复于:2005-07-22 09:09:18
"bsd做ipnat才是王道"
请问什么是bsd啊?
dodgson 回复于:2005-07-26 10:26:02
CU就有BSD板块啊,要不看这里
http://www.freebsd.org.cn/snap/doc/zh_CN.GB2312/books/handbook/
IT业的民工 回复于:2005-07-26 13:09:03
windows 2000 以上在“本地连接”属性就可以修改MAC地址了。
这招只能对付菜鸟。
25实在是太低端的东西了,难为楼主啊。
cbcrose 回复于:2005-07-27 13:27:46
我今天参考网上的资料用cisco的pdlm文件一个bittorrent.pdlm 和edonkey.pdlm文件在cisco的路由器上做了限制,经测试果然一些常用的p2
p软件再也连接不出来了,当然我自己也不能用了。 :x 不过过两天准备看看能不能弄成安时间执行的。
frosty 回复于:2005-07-27 14:34:58
在Win2000/XP下有关MAC地址的键值如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002BE10318\0001
″Networkaddress″=″123456″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972 -E325-11CE-BFC1-08002BE10318\0001
\Ndi\params\Networkaddress
@=″123456″
有兴趣的话可以试试
p650 回复于:2005-07-27 17:00:29
引用:原帖由 "cbcrose" 发表:
我今天参考网上的资料用cisco的pdlm文件一个bittorrent.pdlm 和edonkey.pdlm文件在cisco的路由器上做了限制,经测试果然一些常用的p2
p软件再也连接不出来了,当然我自己也不能用了。 :x 不过过两天准备看看能不能..........
nbar 的东西更新很慢,对新版本的bt什么的不起作用,bittorrent.pdlm 我记得这个仅仅过滤了几个固定的端口,对于现在动态的端口基本无效。不知道cisco更新了没有。
lz的方法不错,目前我们也是用单个ip限速的方法解决流量占用问题。
jimson 回复于:2005-07-30 13:14:07
这样限制,有待完善
webfox 回复于:2005-07-30 15:18:55
我们这里是把大于1024的端口限速,效果也还可以接受
longs2000 回复于:2005-08-03 11:44:56
楼上的,正解。
carrison 回复于:2005-08-09 09:52:36
呵呵,如果用有stateful功能的防火墙如checkpoint,只开放允许的协议, PtoP软件就可以封住了, 当然,如果你用PIX, Watchguard之类的防火墙配上微软的ISA SERVER2004, 也能实现同样的效果.
pengyl 回复于:2005-08-12 09:15:42
引用:原帖由 "t920" 发表:
嗯~~ip nat trans max这个命令应该是用来限制NAT表里的连接数的,并不能针对单个ip起作用。
不过,路由始终不是做nat的上选,普通的接入路由器主频才是可怜的几十MHz,在后边加个bsd做ipnat才是王道,到时候想?.........
说得太对了,以前就碰到过类似问题。
能不能把bsd做ipnat限制mac,限制连接数。限制流量等做个实例介绍讲解一下?
songhongwei 回复于:2005-08-12 09:44:04
我知道有RADWARE公司的产品能做P2P限制,好象不错!
chinablueker 回复于:2005-08-14 21:08:43
hao
navinxx 回复于:2005-10-07 10:00:33
“不过,路由始终不是做nat的上选,普通的接入路由器主频才是可怜的几十MHz,在后边加个bsd做ipnat才是王道,到时候想限制谁就限制谁、想限制连接数就限制连接数、想限制流量就限制流量,怎一个爽字了得。”
能不能说具体一点呀,怎么做法?
plumlee 回复于:2005-10-10 22:52:49
达人们,给个实例吧,我也想做一个哟
办公室用的策略。做个实例吧
srun 回复于:2005-10-17 10:49:23
linux+iptables+ipp2p补丁,google搜索下,保证让那些p2p下载的人哭天叫地了。
cexoyq 回复于:2006-05-06 18:17:04
linux+iptables+ipp2p补丁,google搜索下,保证让那些p2p下载的人哭天叫地了。
我用的就是这个,不过,对一般的BT软件有效,但是对"BT精灵"好像没有什么效果,最终只能用单个IP限速来解决.
学华 回复于:2006-05-09 11:44:37
限制单个IP的最大连接数和带宽,...
让使用者自己决定要用什么,用BT 开的连接多了 到了限制的连接数上限就开不了网页,再限制速度 BT把带宽都用了开网页就慢,,这样让使用者自己选择 才是解决问题的正解..一味的封不是办法,
飞天雄 回复于:2006-08-31 16:45:39
对于这样的人,我是从防火墙上直接封IP地址,只开发80,25
lovegqin 回复于:2006-08-31 19:29:57
引用:原帖由 飞天雄 于 2006-8-31 16:45 发表
对于这样的人,我是从防火墙上直接封IP地址,只开发80,25
这样会不会太过分?
呵呵
zhanghx1977 回复于:2006-09-02 16:44:36
顶
skyyxc 回复于:2006-09-26 17:29:05
超级嗅探狗---管理员工上网行为,保证内网信息安全
可以通过管理P2P软件的使用,制定互联网访问策略,保障带宽资源,支持27种P2P软件的管理。
QQ:65845656
plumlee 回复于:2006-09-27 08:15:20
我说一个很笨的土方法,些法适用于不懂什么叫IP的人士:
去交换机看看哪个灯闪得特猛(连两台交换机的线除外),将那线拨了。看看CPU会不会马上下来。如果会,那恭喜你,你猜对了!!
这时,也会有人说:我上不了网啦。
你回答:是不是你电脑中毒啦?你先别动你的电脑,我过去看看。嘿~~
|
