禁止BT下载、限制电驴下载以及禁用迅雷下载较有效的方法作者：青山 日期：2012-3-17当前，在国内企事业单位的网络管理中，较令网管头痛的问题就是各种P2P软件的盛行。

目前较流行的P2P软件有迅雷、BT、电驴、酷狗等，此外还包括一些采用P2P技术的网络电视、P2P网络视频等。

这些P2P软件由于采用多线程、点对点传输技术，从而可以在极短的时间就可以消耗局域网大量的带宽，导致内网正常的网络应用无法顺利进行。

因为，必须有效监控局域网P2P下载、禁止BT下载等不合理的网络应用，才能保证整个局域网正常的上网速度。

一、通过专业的网络管理软件、局域网上网控制软件来阻断P2P软件、拦截BT下载目前，国内主流的网管软件都可以在一定程度上实现封锁P2P软件、封堵BT下载的功能。

我们以国内目前较流行的软件为例（官网：szdataplus.com/），通过在局域网一台电脑上部署网络监控软件并启动服务之后，我们就可以看到局域网各个电脑的上网带宽，然后就可以设置上网权限的方式来控制P2P下载。

如在聚生局域网监控软件的策略配置里面，我们切换到P2P下载控制，然后勾选控制全部P2P软件即可。

如下图：图：封杀P2P软件截图二、防火墙禁止访问P2P软件的服务器IP地址的方式过滤来屏蔽P2P下载这种情况下一般是通过抓包软件或者其他网络流量分析软件来分析P2P软件的登录服务器IP地址，然后通过防火墙的ACL（访问控制列表）添加这些P2P软件的IP地址。

这样，P2P软件、BT下载软件就无法登录种子资源的服务器，从而无法获取下载资源，从而也就无法进行下载。

但是，这种方式的弊端较多。

首先：P2P软件的服务器IP地址众多，并且还在不断增加，同时也可以自动变化，这使得过滤P2P软件、限制BT下载的服务器IP地址表必须保持实时更新，否则就可能有漏网之鱼，导致无法完全禁用P2P软件。

其次，通过抓包分析P2P软件的服务器IP地址，需要有专门的计算机技术和网络知识，一般的网管人员很难熟练掌握。

较后，防火墙过滤BT下载的服务器IP地址越多，就会导致防火墙自身负荷的增加，同时也会对局域网网络性能造成下降，容易引发网络延迟。

三、屏蔽P2P网址、禁止访问BT网址、关闭BT端口的方式来封堵P2P软件的使用网管人员可以在防火墙的ACL（访问控制列表）中添加含有BT下载、P2P软件的网址的关键词，这样局域网电脑访问带有此关键词的网址就会被防火墙拦截，从而使得P2P软件无法正确解析IP地址，从而拦截P2P软件、阻断BT下载。

例如：1 0000-2400 funshion 生效 编辑 删除2 0000-2400 bt 生效 编辑 删除3 0000-2400 bitcomet 生效 编辑 删除4 0000-2400 kugou 生效 编辑 删除5 0000-2400 torrent 生效 编辑 删除6 0000-2400 bitspirit 生效 编辑 删除7 0000-2400 emule 生效 编辑 删除8 0000-2400 exeem 生效 编辑 删除较常见的就是封端口6881到6890常用的命令如下：1禁止∶ access-list 102 deny tcp any any range 6881 6890 access-list 102 deny tcp any range 6881 6890 any access-list 102 permit ip any any这种方法有其局限性，一是现在有的bt软件，再封锁后会自动改端口二是我仔细研究过好几个BT下载软件，它们现在的announce端口现在已经用8000、8080的说，如果连这个也封，那网络使用就有可能不正常第二种方法:就是用NBAR (Network-Based Application Recognition)网络应用识别NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。

过程：1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm，（要CCO的）2放到TFTP，然后用copy tftp disk2(大多数应该是flash) #show runn 得到关于BT的部分是 class-map match-all bittorrent match protocol bittorrent ! ! policy-map bittorrent-policy class bittorrent drop ! interface GigabitEthernet0/2 description CONNECT INSIDE ip address 192.168.168.1 255.255.255.252 secondary ip address 192.168.21.1 255.255.255.0 ip nat inside service-policy input bittorrent-policy service-policy output bittorrent-policy duplex full speed 1000 media-type rj45 no negotiation auto实验了一下，这样的话，BT就不能下载。

总结：较早种通过网管软件来控制局域网BT下载、禁止局域网迅雷下载的方式更为简单、快捷，同时也可以持续有效监管P2P下载；而第二种、第三种监控局域网P2P软件、管理局域网P2P软件的方式需要有专门的网络管理知识和一定的网络管理经验，同时也需要专门的网管人员进行不间断的收集与更新，因此更为复杂。

笔者建议，对于国内一般企事业单位，尤其是没有专门的网管人员的单位，较好直接用专门的网络过滤软件来禁用局域网P2P下载，省却了很多不必要的麻烦和工作，也能较大程度上保持监控BT下载的有效性。