爱华网FeiQ是个好东西,尤其在局域网中。但是,对于一个正规的企业来说,还是希望禁止其运行的。
如果企业中有自己的域控制器,且所有的客户端都加入了域,这是最好的情况,只需在域控制器中设置相应的策略禁止FeiQ软件运行就可以了。可是,如果没有域控制器,或者大多数客户端没有加入域怎么办呢?
我们可以通过访问控制列表,禁止FeiQ的端口,让其相互之间无法通信,自然也就没有人再用它了。
我们单位的网络有两个H3C的s9512作为核心交换机,接入层的交换机为H3C的S5528交换机,每个接入层交换机上分别有一条线路连接到两个核心交换机上。
我们采取的策略是在s5528交换机上配置访问控制列表ACL,禁止FeiQ所使用的端口。
首先,在计算机上运行Feiq,使用netstat -ano查看FeiQ软件使用的端口,可以发现eiQ默认使用的端口是TCP 2425和Udp 2425端口。
我们就针对这两个端口封锁FeiQ相互之间的通信。
登入进S5528交换机,进入system界面,定义acl
#第一行:定义一个高级访问列表,3000,并给其起一个名字:feiq
#第二行:描述该访问列表的作用
#第三行:定义规则1,禁止源端口 udp 2425
#第四行:定义规则2,禁止源端口 tcp 2425
#第五行:退出。
[h3c-s5528]acl number 3000 namefeiq
[h3c-s5528-acl-adv-3000]] description banned feiq
[h3c-s5528-acl-adv-3000]]rule 1 deny udp source-port eq 2425
[h3c-s5528-acl-adv-3000]]rule 2 deny tcp source-port eq 2425
[h3c-s5528-acl-adv-3000]]quit
#下面 定义类c_rd,对匹配IPv4 ACL 3000 的报文进行分类
#第一行:定义一个流量分类 c_rd
#第二行:匹配acl 3000
#第三行:退出。
[h3c-s5528] traffic classifier c_rd
[h3c-s5528-classifier-c_rd] if-match acl 3000
[h3c-s5528-classifier-c_rd] quit
# 定义流行为b_rd,动作为拒绝报文通过。
[h3c-s5528] traffic behavior b_rd
[h3c-s5528-behavior-b_rd] filter deny
[h3c-s5528-behavior-b_rd] quit
# 定义QoS 策略p_rd,为类c_rd 指定流行为b_rd。
[h3c-s5528] qos policy p_rd
[h3c-s5528-qospolicy-p_rd] classifier c_rd behavior b_rd
[h3c-s5528-qospolicy-p_rd] quit
# 将QoS 策略p_rd 应用到s5528连接两个核心交换机的端口上,两个端口分别为Ten-GigabitEthernet1/1/1,Ten-GigabitEthernet 1/1/2。
[Switch] interface Ten-GigabitEthernet 1/1/1
[h3c-s5528-Ten-GigabitEthernet1/1/1] qos apply policy p_rdinbound
[h3c-s5528-Ten-GigabitEthernet1/1/1] interface Ten-GigabitEthernet1/1/2
[h3c-s5528-Ten-GigabitEthernet1/1/2] qos apply policy p_rdinbound
[h3c-s5528-Ten-GigabitEthernet1/1/2]quit
[h3c-s5528]save
在每个接入层交换机s5528上都做相应的设置后,Feiq就不能和其他交换机上的Feiq通信了,而只能和本交换机上的其他FeiQ通信。FeiQ上面的人少了很多,用的人就自然少了。
不知道FeiQ能否更改端口,如果更改了端口怎么办呢?如果只是某个人自己更改了端口,会不会他的FeiQ上只能看到自己?呵呵。不管它了。
