校園網(wǎng)P2P流量控制方法與實(shí)踐

1、校園網(wǎng) P2P 流量控制方法與實(shí)踐摘要P2P（Peer to Peer對(duì)等網(wǎng)）技術(shù)采用“無(wú)集中服 務(wù)器”工作模式,能充分利用大量在線客戶端設(shè)備 （如PC機(jī)等） 的資源而優(yōu)化文件傳輸?shù)哪芰Α?P2P 應(yīng)用消除了服務(wù)器瓶頸 , 但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。校園網(wǎng)網(wǎng)絡(luò)出口由于受 到帶寬的限制，P2P應(yīng)用的增加，勢(shì)必導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引 起帶寬擠占和延遲的增大 ,在不進(jìn)行有效管理與控制的條件 下,將嚴(yán)重影響正常的網(wǎng)上辦公教學(xué)。 文章在分析各類流量控 制方法利弊的基礎(chǔ)上 ,以某高校為例 ,討論在校園網(wǎng)中進(jìn)行 P2P 流量控制的方法與步驟。關(guān)鍵詞校園網(wǎng)；P2P;流量控制作者簡(jiǎn)介 聶良剛 ,廣西財(cái)經(jīng)學(xué)院

2、現(xiàn)代教育技術(shù)部副主 任,高級(jí)工程師 ,廣西南寧 ,530003中圖分類號(hào) TP393.18 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1007-7723（2010）07-0164-0003一、背景P2P（Peer to Peer對(duì)等網(wǎng)）技術(shù)目前被廣泛應(yīng)用在文件下載、流媒體、 VoIP 等業(yè)務(wù)領(lǐng)域。由于其打破了傳統(tǒng)的 C/S（Client/Server, 客戶機(jī) /服務(wù)器模式 ）網(wǎng)絡(luò)服務(wù)模型 ,采用“無(wú) 集中服務(wù)器”模式，能充分利用大量在線客戶端設(shè)備 （如PC機(jī) 等）的資源而優(yōu)化文件傳輸?shù)哪芰Α?P2P 應(yīng)用消除了服務(wù)器瓶 頸,但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。校園網(wǎng)中，以BT、Emule、PPIive、eDon

3、key、迅雷和各 種在線音頻、視頻為代表的P2P應(yīng)用，占用了校園網(wǎng)大量的帶 寬資源 ,導(dǎo)致網(wǎng)絡(luò)的擁塞和服務(wù)質(zhì)量下降。 校園網(wǎng)網(wǎng)絡(luò)出口由 于受到帶寬的限制,P2P應(yīng)用的增加，將導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用 引起帶寬擠占和延遲的增大 ,校園網(wǎng)出口滿負(fù)荷現(xiàn)象嚴(yán)重 ,在 不進(jìn)行有效管理與控制的條件下 ,將嚴(yán)重影響正常的網(wǎng)上辦 公教學(xué)。為了保證校園網(wǎng)用戶能夠“相對(duì)平等”地使用網(wǎng)絡(luò) 資源和帶寬 ,使基于校園網(wǎng)的日常辦公教學(xué)工作正常開展,要采取必要的技術(shù)手段對(duì)大量耗費(fèi)帶寬的P2P應(yīng)用進(jìn)行一定程度的監(jiān)測(cè)和調(diào)控。二、常用流量控制方法從網(wǎng)絡(luò)管理層面來(lái)看，流量控制主要是針對(duì) P2P應(yīng)用協(xié) 議、端口和用戶進(jìn)行帶寬限制 ,目前可

4、采用的流量控制方法主 要有以下幾種 :（一）通過(guò)防火墻封禁 P2P應(yīng)用端口通過(guò)布設(shè)在內(nèi)網(wǎng)出口的防火墻，檢測(cè)流量過(guò)大P2P應(yīng)用并封禁相應(yīng)端口 ,可以取得一定效果。實(shí)踐中發(fā)現(xiàn) ,采用這種 方法 ,雖然能取得暫時(shí)效果 ,但是不久后流量重新飆升 ,和封禁 之前沒(méi)有什么區(qū)別 ,并且封禁 UDP 端口可能導(dǎo)致一些正常應(yīng) 用無(wú)法進(jìn)行。經(jīng)分析，原因是部分P2P應(yīng)用（如BT下載）使用 的協(xié)議可以自動(dòng)協(xié)商通訊端口 ,一旦發(fā)現(xiàn)某端口被封禁 ,通訊 雙方將自動(dòng)更換通訊端口 ,而且目前使用的 P2P 軟件都允許 設(shè)置為 80 這樣正常的端口 ,所以封禁端口獲得的效果并不理 想。（二）通過(guò)安裝協(xié)議識(shí)別模塊或網(wǎng)絡(luò)監(jiān)控軟件進(jìn)

5、行過(guò)濾 目前網(wǎng)上有一些實(shí)用的網(wǎng)絡(luò)協(xié)議識(shí)別模塊或軟件,如“ Ethereal 協(xié)議分析系統(tǒng)”等。經(jīng)實(shí)踐發(fā)現(xiàn) ,從網(wǎng)上下載協(xié)議 識(shí)別模塊并安裝在 NAT 服務(wù)器上 ,封禁 P2P 后,網(wǎng)絡(luò)占用率大 幅下降 ,效果立竿見影 ,但是不久后網(wǎng)絡(luò)仍然爆滿 ,流量會(huì)被其 他的應(yīng)用取代。而且在 NAT 的服務(wù)器上封禁應(yīng)用協(xié)議和封禁 端口,還會(huì)使 NAT 服務(wù)器的 CPU 占用率飚升 ,使系統(tǒng)不堪重 負(fù)。同理 ,采用一些通用型的網(wǎng)絡(luò)監(jiān)控軟件 ,對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈 路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì),或采用在網(wǎng)絡(luò)中部分重點(diǎn)業(yè)務(wù)接入點(diǎn)加裝遠(yuǎn)程監(jiān)控探測(cè)的方式,對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集,

6、也會(huì)存在同類問(wèn)題 ,無(wú)法完全滿足互聯(lián)網(wǎng)業(yè)務(wù)流量的管理需求。（三）限制用戶的上網(wǎng)流量 使用城市熱點(diǎn)等設(shè)備并部署對(duì)用戶進(jìn)行流量限制的策 略,對(duì)每個(gè)用戶的網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格的控制,使之每天可使用的流量限制在一定的范圍內(nèi)。 實(shí)踐中發(fā)現(xiàn) ,這個(gè)方法雖然可以 使用戶在使用 P2P 軟件時(shí)有所顧及 ,但是在使用的過(guò)程中也 經(jīng)常會(huì)出現(xiàn)部分正常用戶在對(duì)外交流時(shí)因?yàn)榱髁康南拗贫鵁o(wú)法完成。例如 ,當(dāng)用戶使用的計(jì)算機(jī)中了病毒之后會(huì)出現(xiàn)突 發(fā)的流量將其一天的所有流量耗盡,導(dǎo)致其無(wú)法正常上網(wǎng)。（四 ）使用專用流控設(shè)備進(jìn)行控制 以上三種方法雖然都有一定的效果,但不能實(shí)現(xiàn)科學(xué)、可靠、穩(wěn)定的流量控制管理 ,因此 , 專業(yè)流控設(shè)備

7、應(yīng)運(yùn)而生 ,如 Cisco SCE、ExtraMonitor 等等。 另外 ,還有一些和此類設(shè)備具 有相同功能的專業(yè)流控服務(wù)器,是通過(guò)在專用服務(wù)器上安裝Panabit 等流控軟件來(lái)實(shí)現(xiàn)的 ,投入較少但效果也很好。其 中,Cisco SCE使用的策略完全是基于IP地址,通過(guò)對(duì)局域網(wǎng) 的所有 IP 網(wǎng)段進(jìn)行一定優(yōu)先級(jí)別區(qū)分,然后制定不同的 IP 策略來(lái)實(shí)現(xiàn)流量控制。例如 :教學(xué)科研 IP 地址上傳與下載的速 度要高于學(xué)生的 IP 地址,關(guān)鍵的 EMAIL 、HTTP 應(yīng)用應(yīng)高于 P2P的使用。通過(guò)這些措施，能有效地使網(wǎng)絡(luò)流量從無(wú)序轉(zhuǎn)化 為智能的控制。采用專業(yè)流控設(shè)備雖然一次性投入比較大 , 但因?yàn)?/p>

8、管理效果比較好 ,采用此種方法是校園網(wǎng)網(wǎng)絡(luò)流控管 理的主要發(fā)展方向。三、網(wǎng)絡(luò)流量控制實(shí)施案例（一）某高校校園網(wǎng)建設(shè)現(xiàn)狀1. 網(wǎng)絡(luò)接入 :該校校園網(wǎng)分成辦公教學(xué)網(wǎng)和學(xué)生宿舍網(wǎng) 兩部分 , 共計(jì) 6000 信息點(diǎn)。其中辦公教學(xué)網(wǎng)的核心交換機(jī)通 過(guò)100M光纖線路接入Internet,學(xué)生宿舍網(wǎng)核心交換機(jī)則通 過(guò)另一千兆光纖接入Internet,兩個(gè)核心交換機(jī)間使用光纖互聯(lián),并安裝了專用防火墻隔離2. 應(yīng)用方面 :已成功實(shí)施了教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)課程、 OA 等全局性的應(yīng)用系統(tǒng) ,以及英語(yǔ)網(wǎng)絡(luò)教學(xué)系統(tǒng)等系部二級(jí) 業(yè)務(wù)系統(tǒng)。3. 信息資源 :有 50 多臺(tái)服務(wù)器 ,其中大部分服務(wù)放置網(wǎng) 絡(luò)中心本地監(jiān)管

9、,并全部實(shí)現(xiàn)聯(lián)網(wǎng)。4. 為保證校園網(wǎng)的正常運(yùn)行 ,已采取了大量的安全防范 措施 :如已實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離、已部署防火墻、城市熱點(diǎn)、 防病毒、入侵檢測(cè)系統(tǒng)等。5. 專業(yè)人員隊(duì)伍 :網(wǎng)絡(luò)中心擁有一批高水平的技術(shù)人員 負(fù)責(zé)校園網(wǎng)的建設(shè)與運(yùn)作維護(hù) ,同時(shí)有安全產(chǎn)品供貨商的技 術(shù)人員進(jìn)行指導(dǎo)。（二）流控設(shè)備選型 網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成的 ,對(duì)每個(gè)數(shù)據(jù)包 的分析、處理都要耗費(fèi)一定的資源。部署在校園網(wǎng)出口處的 流量控制設(shè)備作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果數(shù)據(jù)吞吐量太小就會(huì)成為網(wǎng)絡(luò)瓶頸。 因此 ,為了保障整個(gè)網(wǎng)絡(luò)的傳輸 效率 ,在其他性能指標(biāo)類似的基礎(chǔ)上 ,應(yīng)優(yōu)先選擇吞吐量大的 產(chǎn)品,如擁有5G吞

10、吐量的Cisco SCE 2020等。（三）建立網(wǎng)絡(luò)流量的監(jiān)控模型 不需對(duì)校園網(wǎng)拓?fù)溥M(jìn)行大幅更改, 采用透明模式接入 ,只需將流控設(shè)備串聯(lián)在核心交換機(jī)與防火墻之間,讓其控管、監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的出口流量 ,就可以快速建立網(wǎng)絡(luò)流量的監(jiān)控 模型 （如圖 1）。（四 ）提供流量控制服務(wù)通過(guò)部署專用流控設(shè)備 ,網(wǎng)絡(luò)中心開始對(duì)校內(nèi) P2P 應(yīng)用 進(jìn)行有效監(jiān)控 ,提供的流量控制服務(wù)主要有以下幾項(xiàng) :1. 網(wǎng)絡(luò)流量流向分析 :通過(guò)流量監(jiān)控 ,能及時(shí)了解校園網(wǎng) 內(nèi)不同屬性網(wǎng)絡(luò)流量分布 ,預(yù)測(cè)流量變化趨勢(shì) ,找出網(wǎng)絡(luò)瓶頸 , 為網(wǎng)絡(luò)規(guī)劃、 優(yōu)化調(diào)整提供基礎(chǔ)依據(jù) ;對(duì)應(yīng)用、 用戶進(jìn)行深入 分析 ,可以準(zhǔn)確掌握網(wǎng)絡(luò)應(yīng)用和

11、用戶上網(wǎng)行為,為設(shè)計(jì)實(shí)施更好的用戶服務(wù)及產(chǎn)品提供了可靠的基礎(chǔ)數(shù)據(jù)（如圖 2）。2. 異常流量分析 :當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí) ,從網(wǎng)絡(luò)管理層面 , 對(duì)異常流量攻擊實(shí)施有效監(jiān)控和定位 ;能夠及時(shí)響應(yīng) ,對(duì)異常 流量和一些非法應(yīng)用進(jìn)行控制 ,保證網(wǎng)絡(luò)中心 IP 數(shù)據(jù)網(wǎng)的正 常運(yùn)行。3. 網(wǎng)絡(luò)應(yīng)用監(jiān)控 :通過(guò)建立健全安全監(jiān)測(cè)管理系統(tǒng) , 對(duì) IP 數(shù)據(jù)網(wǎng)的流量及網(wǎng)上的各種應(yīng)用協(xié)議進(jìn)行統(tǒng)計(jì)分析,結(jié)合日常網(wǎng)絡(luò)維護(hù)操作 ,重點(diǎn)對(duì)異常流量進(jìn)行分析和預(yù)警 ,實(shí)現(xiàn) 在 IP 數(shù)據(jù)網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全預(yù)警。4. 策略控制能力 :能夠?qū)崿F(xiàn)基于 IP 地址、端口、業(yè)務(wù)、 時(shí)間的帶寬控制。 支持的基于應(yīng)用的帶寬控制包括保證 （最小

12、 帶寬 ）、限制（最大帶寬 ）、流量透?jìng)鳌G棄、設(shè)置優(yōu)先級(jí) （至少 五個(gè)級(jí)別 ）,確保主流網(wǎng)絡(luò)應(yīng)用的帶寬得到優(yōu)先分配。（五）實(shí)施效果充分發(fā)揮專用網(wǎng)絡(luò)流量控制設(shè)備功能,實(shí)現(xiàn)了校園網(wǎng)網(wǎng)絡(luò)主要為學(xué)校辦公教學(xué)服務(wù)的目標(biāo)。歸納起來(lái) ,該校實(shí)施 P2P流量控制主要達(dá)到了以下目的 :1. 核心業(yè)務(wù)系統(tǒng)所需的網(wǎng)絡(luò)帶寬有保障,保證基于校園網(wǎng)的學(xué)校辦公教學(xué)工作能高效進(jìn)行。2. 對(duì)非工作使用網(wǎng)絡(luò)應(yīng)用可根據(jù)需要是否設(shè)限。3. 實(shí)時(shí)監(jiān)測(cè)內(nèi)網(wǎng)流量 ,掌握網(wǎng)絡(luò)資源使用情況 ,提供完整 的工作日志 ,便于事后查詢。4. 把握網(wǎng)絡(luò)流量運(yùn)行狀況 ,應(yīng)對(duì)突發(fā)事故。5. 優(yōu)化帶寬資源配置、降低網(wǎng)絡(luò)費(fèi)用。6. 可針對(duì)會(huì)話數(shù)高的應(yīng)用 （

13、如 P2P 等）作限制 ,減少核心 交換機(jī)或路由器、 防火墻等網(wǎng)絡(luò)設(shè)備的負(fù)載 ,減少網(wǎng)絡(luò)掉線概 率。7. 對(duì)校園網(wǎng)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行有效的分析與控管。四、結(jié)語(yǔ)通過(guò)校園網(wǎng)P2P流量控制，限定每個(gè)用戶、相關(guān) P2P應(yīng) 用的帶寬。首先 ,能有效解決網(wǎng)絡(luò)流量分配不公 ,極少部分用 戶占用了大部分資源的問(wèn)題。 其次 ,避免了用戶因?yàn)闄C(jī)器中病毒引起的 UDP 洪水大流量沖擊網(wǎng)關(guān)、防火墻等情況,保證網(wǎng)關(guān)和防火墻的安全。 再次 ,流控預(yù)警機(jī)制可以讓用戶為無(wú)法預(yù) 料的網(wǎng)絡(luò)事件作出提前的反應(yīng)。在實(shí)施流量控制的同時(shí) ,還應(yīng)考慮通過(guò)豐富校內(nèi)的網(wǎng)絡(luò) 資源，例如搭建內(nèi)網(wǎng)網(wǎng)絡(luò)視頻點(diǎn)播服務(wù)器、FTP服務(wù)器等，通過(guò)引導(dǎo)讓師生在校內(nèi)進(jìn)行下載,減少不必要的出口帶寬浪費(fèi)。