限制NAT的单用户连接数

　　在Cisco IOS 12.3(4)T 后的IOS软件上支持NAT的单用户限制，即可以对做地址转换的单个IP限制其NAT的表项数，因为P2P类软件如BT的一大特点就是同时会有很多的连接数，从而占用了大量的NAT表项，因此应用该方法可有效限制BT的使用，比如我们为IP 10.1.1.1设置最大的NAT表项数为200；正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT表项数达到200，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等待到NAT表项失效后，才能再次使用，这样即有效地保护了网络的带宽，同时也达到了警示的作用。

　　例如限制IP地址为10.1.1.1的主机NAT的条目为200条，配置如下：
　　ip nat translation max-entries host 10.1.1.1 200
　　如果想限制所有主机，使每台主机的NAT条目为200，可进行如下配置：
　　ip nat translation max-entries all-host 200

　　使用HTTP代理过滤应用层协议

　　当BT客户端下载时，必须进行Tracker查询，Tracker通过HTTP的GET命令的参数来接收信息，而响应给对方(下载者)的是Bencoded编码的消息。在HTTP请求报文中，携带了BT的特征值User-Agent：BitTorrent。

　　针对该情况，网络管理员可以通过一些安全管理设备以及流量管理设备，甚至网络管理系统软件，过滤特定的应用层数据包(如HTTP数据包)，然后根据BT数据包中的关键字(BitTorrent)，从HTTP数据包中过滤BT数据包。

　　控制整体BT下载流量

　　将整体BT下载的流量控制在某个范围内。如整个校园网络可以使用的BT下载流量设定为1Mbps。校园网络剩余的其他网络带宽资源可以给关键业务或者其他非关键业务使用，有效地防止BT下载侵吞大量网络带宽资源。以Cisco设备为例，具体命令为：

　　access-list 130 remark bt
　　access-list 130 permit tcp any any range 6881 6890
　　access-list 130 permit tcp any range 6881 6890 any
　　rate-limit input access-group 130 712000 8000 8000 conform-action transmit exceed-action drop
　　rate-limit output access-group 130 712000 8000 8000 conform-action transmit exceed-action drop