在Cisco IOS上限制NAT的單用戶鏈接數

在Cisco IOS 12.3(4)T 後的IOS軟件上支持NAT的單用戶限制，便可以對作地址轉換的單個IP限制其NAT的表項數，由於P2P類軟件如BT的一大特色就是同時會有不少的鏈接數，從而佔用了大量的NAT表項，所以應用該方法可有效限制BT的使用，好比咱們爲IP 10.1.1.1設置最大的NAT表項數爲200；正常的網絡訪問確定夠用了，但若是使用BT，那麼很快此IP的NAT表項數達到200，一旦達到峯值，該IP的其餘訪問就沒法再進行NAT轉換，必須等待到NAT表項失效後，才能再次使用，這樣即有效地保護了網絡的帶寬，同時也達到了警示的做用。

例如限制IP地址爲10.1.1.1的主機NAT的條目爲200條，配置以下：

ip nat translation max-entries host 10.1.1.1 200

若是想限制全部主機，使每臺主機的NAT條目爲200，可進行以下配置：

ip nat translation max-entries all-host 200

 

限制或禁止在特定時間段內的BT下載

校園網絡工做時間內限制或者禁止BT下載，這樣工做時間內不會有BT下載流量和關鍵業務競爭，也充分保護了校園網絡關鍵業務。同時，在非工做時間，校園網絡也能夠自行利用高速的網絡資源。以Cisco設備爲例，具體命令爲：

time-range test

periodic daily 20：00 to 23：00

access-list 130 permit tcp any any range 6881 6890 time-range test

access-list 130 permit tcp any range 6881 6890 any time-range test

 

保證關鍵業務專用動態帶寬

將校園網絡關鍵業務劃分到專用動態帶寬中間，BT下載使用剩餘帶寬，避免二者競爭。

某些特定校園網絡會使用BT下載提供服務。對於這樣的校園網絡，因爲BT下載具備很高的侵略性，所以須要使用保護機制來保障其餘關鍵業務的正常運行。網絡管理員能夠經過一些管理軟件或者網絡硬件配置，針對應用流進行較細粒度的速率限制，例如將BT用戶下載的優先級限制爲5（0最高，7最低），帶寬限制爲64kbps，這樣能夠確保BT軟件使用的同時不會影響其餘業務的開展，充分保護這些應用。剩餘的網絡資源能夠所有提供給BT下載使用。