我正在尝试通过策略路由来阻止 Skype,但是没有用...这是我的配置:
class-map match-any block
match protocol skype
policy-map QoS-Priority-Input
class block
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
policy-map QoS-Priority-Output
class block
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
interface FastEthernet4
description WAN
service-policy input QoS-Priority-Input
service-policy output QoS-Priority-Output
答案1
match protocol skype仅匹配 Skype 协议 v1。
该协议的 v2 版本非常擅长寻找绕过任何阻止的方法 - 例如,如果有必要,它就会简单地使用 HTTPS。
这里有一个非常好的描述,说明如何通过强制使用 HTTPS 来阻止它,然后使用 DPI 检查和阻止 Skype HTTPS 流量
答案2
如果 Skype 的行为与许多 P2P 协议类似,您最好为其分配尽可能小的带宽,而不是直接阻止它。当面临完全阻止时,它们往往会协商新的端口,但面对非常拥挤的通道,它们会留在其中。