摘要：P2P（PeertoPeer，對等網(wǎng)）技術(shù)采用“無集中服務(wù)器”工作模式，能充分利用大量在線客戶端設(shè)備（如PC機等）的資源而優(yōu)化文件傳輸?shù)哪芰Α�P2P應(yīng)用消除了服務(wù)器瓶頸，但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。校園網(wǎng)網(wǎng)絡(luò)出口由于受到帶寬的限制，P2P應(yīng)用的增加，勢必導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引起帶寬擠占和延遲的增大，在不進行有效管理與控制條件下，將嚴重影響正常的網(wǎng)上辦公教學(xué)。本文將在分析各類流量控制方法利弊的基礎(chǔ)上，以某高校為例，討論在校園網(wǎng)中進行P2P流量控制的方法與步驟。
　　關(guān)鍵詞：校園網(wǎng)；P2P；流量控制
　　一、背景
　　P2P（PeertoPeer，對等網(wǎng)）技術(shù)目前被廣泛應(yīng)用在文件下載、流媒體、VoIP等業(yè)務(wù)領(lǐng)域。由于其打破了傳統(tǒng)的C/S（Client/Server，客戶機/服務(wù)器模式）網(wǎng)絡(luò)服務(wù)模型，采用“無集中服務(wù)器”模式，能充分利用大量在線客戶端設(shè)備（如PC機等）的資源而優(yōu)化文件傳輸?shù)哪芰Α�P2P應(yīng)用消除了服務(wù)器瓶頸，但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。
　　校園網(wǎng)中，以BT、Emule、PPlive、eDonkey、迅雷和各種在線音頻、視頻為代表的P2P應(yīng)用，占用了校園網(wǎng)大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁塞和服務(wù)質(zhì)量下降。校園網(wǎng)網(wǎng)絡(luò)出口由于受到帶寬的限制，P2P應(yīng)用的增加，將導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引起帶寬擠占和延遲的增大，校園網(wǎng)出口滿負荷現(xiàn)象嚴重，在不進行有效管理與控制條件下，將嚴重影響正常的網(wǎng)上辦公教學(xué)。為了保證校園網(wǎng)用戶
　　能夠“相對平等”的使用網(wǎng)絡(luò)資源和帶寬，使基于校園網(wǎng)的日常辦公教學(xué)工作正常開展，需要采取必要的技術(shù)手段對大量耗費帶寬的P2P應(yīng)用進行一定程度的監(jiān)測和調(diào)控。
　　二、常用流量控制方法
　　從網(wǎng)絡(luò)管理層面來看，流量控制主要是針對P2P應(yīng)用協(xié)議、端口和用戶進行帶寬限制，目前可采用的流量控制方法主要有以下幾種：
　　1．通過防火墻封禁P2P應(yīng)用端口
　　通過布設(shè)在內(nèi)網(wǎng)出口的防火墻，檢測流量過大P2P應(yīng)用并封禁相應(yīng)端口，可以取得一定效果。實踐中發(fā)現(xiàn)，采用這一方法，雖然能取得暫時效果，但是不久后流量重新飆升，和封禁之前沒有什么區(qū)別，并且封禁UDP端口可能導(dǎo)致一些正常應(yīng)用無法進行。經(jīng)分析，原因是部分P2P應(yīng)用（如BT下載）使用的協(xié)議可以自動協(xié)商通訊端口，一旦發(fā)現(xiàn)某端口被封禁，通訊雙方將自動更換通訊端口，而且目前使用的P2P軟件都允許設(shè)置為80這樣正常的端口，所以封禁端口獲得的效果并不理想。
　　2．通過安裝協(xié)議識別模塊或網(wǎng)絡(luò)監(jiān)控軟件進行過濾
　　目前網(wǎng)上有一些實用的網(wǎng)絡(luò)協(xié)議識別模塊或軟件，如“Ethereal協(xié)議分析系統(tǒng)”等。經(jīng)實踐發(fā)現(xiàn)，從網(wǎng)上下載協(xié)議識別模塊并安裝在NAT服務(wù)器上，封禁P2P后，網(wǎng)絡(luò)占用率大幅下降，效果立竿見影，但是不久后網(wǎng)絡(luò)仍然爆滿，流量會被其他的應(yīng)用取代。而且在NAT的服務(wù)器上封禁應(yīng)用協(xié)議和封禁端口，還會使NAT服務(wù)器的CPU占用率飚升，使系統(tǒng)不堪重負。同理，采用一些通用型的網(wǎng)絡(luò)監(jiān)控軟件，對網(wǎng)絡(luò)的重點鏈路和互聯(lián)點進行簡單的端口級流量監(jiān)視和統(tǒng)計，或采用在網(wǎng)絡(luò)中部分重點業(yè)務(wù)接入點加裝遠程監(jiān)控探測的方式，對網(wǎng)絡(luò)中部分端口進行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集，也會存在同類問題，無法完全滿足互聯(lián)網(wǎng)業(yè)務(wù)流量的管理需求。
　　3．限制用戶的上網(wǎng)流量
　　使用城市熱點等設(shè)備并部署對用戶進行流量限制的策略，對每個用戶的網(wǎng)絡(luò)流量進行嚴格的控制，使之每天可使用的流量限制在一定的范圍內(nèi)。實踐中發(fā)現(xiàn)，這個方法雖然可以使用戶在使用P2P軟件時有所顧及，但是在使用的過程中也經(jīng)常會出現(xiàn)部分正常用戶在對外交流時因為流量的限制而無法完成。例如，當用戶使用的計算機中了病毒之后會出現(xiàn)突發(fā)的流量將其一天的所有流量耗盡，導(dǎo)致其無法正常上網(wǎng)。
　　4.使用專用流控設(shè)備進行控制
　　以上三種方法雖然都有一定的效果，但不能實現(xiàn)科學(xué)、可靠、穩(wěn)定的流量控制管理，因此，專業(yè)流控設(shè)備應(yīng)運而生，如CiscoSCE、ExtraMonitor等等。其中，CiscoSCE使用所有的策略完全是基于IP地址，通過對局域網(wǎng)的所有IP網(wǎng)段進行一定優(yōu)先級別區(qū)分，然后制定不同的IP策略來實現(xiàn)流量控制。例如：教學(xué)科研IP地址上傳與下載的速度要高于學(xué)生的IP地址，關(guān)鍵的EMAIL，HTTP應(yīng)用應(yīng)高于P2P的使用。通過這些措施，能有效地使網(wǎng)絡(luò)流量從無序轉(zhuǎn)化為智能的控制。雖然一次性投入比較大，但因為管理效果比較好，采用此種方法是校園網(wǎng)網(wǎng)絡(luò)流控管理的主要發(fā)展方向。
　　三、網(wǎng)絡(luò)流量控制實施案例
　　1.某高校校園網(wǎng)建設(shè)現(xiàn)狀：
　　（1）網(wǎng)絡(luò)接入：該校校園網(wǎng)分成辦公教學(xué)網(wǎng)和學(xué)生宿舍網(wǎng)兩部分共計6000信息點。其中辦公教學(xué)網(wǎng)的核心交換機通過100M光纖線路接入Internet，學(xué)生宿舍網(wǎng)核心交換機則通過另一千兆光纖接入Internet，兩個核心交換機間使用光纖互聯(lián)，并安裝了專用防火墻隔離。
　　（2）應(yīng)用方面：已成功實施了教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)課程、OA等全局性的應(yīng)用系統(tǒng)，以及英語網(wǎng)絡(luò)教學(xué)系統(tǒng)等系部二級業(yè)務(wù)系統(tǒng)。
　　（3）信息資源：有五十多臺服務(wù)器，其中大部分服務(wù)放置網(wǎng)絡(luò)中心本地監(jiān)管，并全部實現(xiàn)聯(lián)網(wǎng)。
　　（4）為保證校園網(wǎng)的正常運行，已采取了大量的安全防范措施：如已實現(xiàn)內(nèi)外網(wǎng)物理隔離、已部署防火墻、城市熱點、防病毒、入侵檢測系統(tǒng)等。
　　（5）專業(yè)人員隊伍：網(wǎng)絡(luò)中心擁有一批高水平的技術(shù)人員，負責校園網(wǎng)的建設(shè)與運作維護，同時有安全產(chǎn)品供貨商的技術(shù)人員進行指導(dǎo)。
　　2.流控設(shè)備選型
　　網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，對每個數(shù)據(jù)包的分析、處理都要耗費一定的資源。部署在校園網(wǎng)出口處的流量控制設(shè)備作為內(nèi)外網(wǎng)之間的惟一數(shù)據(jù)通道，如果數(shù)據(jù)吞吐量太小就會成為網(wǎng)絡(luò)瓶頸。因此，為了保障整個網(wǎng)絡(luò)的傳輸效率，在其他性能指標類似的基礎(chǔ)上，應(yīng)優(yōu)先選擇吞吐量大的產(chǎn)品，如擁有5G吞吐量的CiscoSCE2020等。
　　3.建立網(wǎng)絡(luò)流量的監(jiān)控模型
　　不需對校園網(wǎng)拓撲進行大幅更改，采用透明模式接入，只需將流控設(shè)備串聯(lián)在核心交換機與防火墻之間，讓其控管、監(jiān)測整個網(wǎng)絡(luò)的出口流量，就可以快速建立網(wǎng)絡(luò)流量的監(jiān)控模型。（如圖1）
　　圖1部署了網(wǎng)絡(luò)流量控制設(shè)備的網(wǎng)絡(luò)拓撲
　　4.提供流量控制服務(wù)
　　通過部署專用流控設(shè)備，網(wǎng)絡(luò)中心開始對校內(nèi)P2P應(yīng)用進行有效監(jiān)控，提供的流量控制服務(wù)主要有以下幾項：
　　（1）網(wǎng)絡(luò)流量流向分析：通過流量監(jiān)控，能及時了解校園網(wǎng)內(nèi)不同屬性網(wǎng)絡(luò)流量分布，預(yù)測流量變化趨勢，找出網(wǎng)絡(luò)瓶頸，為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整提供基礎(chǔ)依據(jù)；對應(yīng)用、用戶進行深入分析，可以準確掌握網(wǎng)絡(luò)應(yīng)用和用戶上網(wǎng)行為，為設(shè)計實施更好的用戶服務(wù)及產(chǎn)品提供了可靠的基礎(chǔ)數(shù)據(jù)（如圖2）。
　　
　　圖2網(wǎng)絡(luò)流量流向分析圖
　　（2）異常流量分析：當網(wǎng)絡(luò)攻擊發(fā)生時，從網(wǎng)絡(luò)管理層面，對異常流量攻擊實施有效監(jiān)控和定位；能夠及時響應(yīng)，對異常流量和一些非法應(yīng)用進行控制，保證網(wǎng)絡(luò)中心IP數(shù)據(jù)網(wǎng)的正常運行。
　　（3）網(wǎng)絡(luò)應(yīng)用監(jiān)控：通過建立健全安全監(jiān)測管理系統(tǒng)，對IP數(shù)據(jù)網(wǎng)的流量及網(wǎng)上的各種應(yīng)用協(xié)議進行統(tǒng)計分析，結(jié)合日常網(wǎng)絡(luò)維護操作，重點對異常流量進行分析和預(yù)警，實現(xiàn)在IP數(shù)據(jù)網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全預(yù)警。
　　（4）策略控制能力：能夠?qū)崿F(xiàn)基于IP地址、端口、業(yè)務(wù)、時間的帶寬控制。支持的基于應(yīng)用的帶寬控制包括保證（最小帶寬）、限制（最大帶寬）、流量透傳、丟棄、設(shè)置優(yōu)先級（至少五個級別），確保主流網(wǎng)絡(luò)應(yīng)用的帶寬得到優(yōu)先分配。
　　5.實施效果
　　充分發(fā)揮專用網(wǎng)絡(luò)流量控制設(shè)備功能，實現(xiàn)了校園網(wǎng)網(wǎng)絡(luò)主要為學(xué)校辦公教學(xué)服務(wù)的目標，歸納起來，該校實施P2P流量控制主要達到了以下目的：
　　（1）核心業(yè)務(wù)系統(tǒng)所需的網(wǎng)絡(luò)帶寬有保障，保證基于校園網(wǎng)的學(xué)校辦公教學(xué)工作能高效進行；
　　（2）對非工作使用網(wǎng)絡(luò)應(yīng)用可根據(jù)需要是否設(shè)限；
　　（3）實時監(jiān)測內(nèi)網(wǎng)流量、掌握網(wǎng)絡(luò)資源使用情況，提供完整的工作日志，便于事后查詢；
　　（4）把握網(wǎng)絡(luò)流量運行狀況，應(yīng)對突發(fā)事故；
　　（5）優(yōu)化帶寬資源配置、降低網(wǎng)絡(luò)費用；
　　（6）可針對會話數(shù)高的應(yīng)用（如P2P等）作限制，減少核心交換機或路由器、防火墻等網(wǎng)絡(luò)設(shè)備的負載，減少網(wǎng)絡(luò)掉線概率；
　　（7）對校園網(wǎng)內(nèi)網(wǎng)用戶的上網(wǎng)行為進行有效地分析與控管。
　　四、結(jié)束語
　　通過校園網(wǎng)P2P流量控制，限定每個用戶、相關(guān)P2P應(yīng)用的帶寬，首先，能有效解決網(wǎng)絡(luò)流量分配不公，極少部分用戶占用了大部分資源的問題。其次，也避免了用戶因為機器中病毒引起的UDP洪水大流量沖擊網(wǎng)關(guān)、防火墻等情況，保證網(wǎng)關(guān)和防火墻的安全。第三，流控預(yù)警機制可以讓用戶為無法預(yù)料的網(wǎng)絡(luò)事件作出提前的反應(yīng)。
　　用戶的需求與網(wǎng)絡(luò)帶寬的限制就目前而言是一場長久的戰(zhàn)爭，而專業(yè)的流控設(shè)備僅僅是解決這場戰(zhàn)爭一種捷徑而不是全部。在控制流量的同時，也應(yīng)考慮通過豐富校內(nèi)的網(wǎng)絡(luò)資源，例如搭建內(nèi)網(wǎng)網(wǎng)絡(luò)視頻點播服務(wù)器，收集影音視頻資料，通過引導(dǎo)讓師生在校內(nèi)進行下載，減少不必要外網(wǎng)下載引起的出口帶寬資源浪費。在控制用戶網(wǎng)絡(luò)流量的同時也必須對用戶的上網(wǎng)行為進行合理的引導(dǎo)，并制定相應(yīng)制度加以規(guī)范，這樣雙方面配合才能實現(xiàn)雙贏的結(jié)果。
　　
　　
　　參考文獻：
　　[1]張文,趙子銘.P2P網(wǎng)絡(luò)技術(shù)原理與C++開發(fā)案例[M].北京:人民郵電出版社,2008年:1-360.
　　[2]吳偉光.PeertoPeer技術(shù)對版權(quán)法的挑戰(zhàn)與對策[J].電子知識產(chǎn)權(quán),2006(3):26-30.
　　[3]侯自強.P2P回歸互聯(lián)網(wǎng)本性.通信產(chǎn)業(yè)報,2005年9月.