秦利波馬艷春

(1.中國(guó)礦業(yè)大學(xué)，江蘇，徐州 221008;2.華北科技學(xué)院，北京東燕郊 101601)

基于校園網(wǎng)P2P流量控制方法與實(shí)踐研究①

秦利波1②馬艷春2

(1.中國(guó)礦業(yè)大學(xué)，江蘇，徐州 221008;2.華北科技學(xué)院，北京東燕郊 101601)

本文通過(guò)分析多種針對(duì)P2P應(yīng)用的管理策略的基礎(chǔ)上，對(duì)校園網(wǎng)中的P2P流量不易監(jiān)控的原因，進(jìn)行了分析。探討了對(duì)出口P2P流量進(jìn)行控制的必要性，通過(guò)部署ALLot系統(tǒng)，有效監(jiān)控了校園網(wǎng)中P2P應(yīng)用數(shù)據(jù)流。

校園網(wǎng);P2P;流量控制

隨著信息化進(jìn)程，P2P應(yīng)用迅速發(fā)展，以P2P為具有基礎(chǔ)的BT、迅雷、電驢(eMule)等已經(jīng)占據(jù)網(wǎng)絡(luò)總帶寬的60%～80%，由此可見P2P應(yīng)用對(duì)網(wǎng)絡(luò)進(jìn)出口帶寬極大的占用。在各高校的校園網(wǎng)中更是如此，以BT、Emule、PPlive、迅雷和各種在線音頻、視頻為代表的P2P應(yīng)用，占用了校園網(wǎng)大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁塞和服務(wù)質(zhì)量下降。校園網(wǎng)網(wǎng)絡(luò)出口由于受到帶寬的限制，P2P應(yīng)用的增加，將導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引起帶寬擠占和延遲的增大，校園網(wǎng)出口滿負(fù)荷現(xiàn)象嚴(yán)重，在不進(jìn)行有效管理與控制的條件下，將嚴(yán)重影響正常的網(wǎng)上辦公與教學(xué)。為了保證校園網(wǎng)用戶能夠“相對(duì)平等”地使用網(wǎng)絡(luò)資源和帶寬，使基于校園網(wǎng)的日常辦公與教學(xué)工作正常開展，人們?cè)絹?lái)越意識(shí)到有必要對(duì)P2P流量和網(wǎng)絡(luò)行為進(jìn)行深入的了解與分析，要采取必要的技術(shù)手段對(duì)大量耗費(fèi)帶寬的P2P應(yīng)用進(jìn)行一定程度的監(jiān)測(cè)和調(diào)控。

1 常用流量控制方法

從網(wǎng)絡(luò)管理層面來(lái)看，流量控制主要是針對(duì)P2P協(xié)議、端口和用戶進(jìn)行帶寬限制，目前可采用的流量控制方法主要有以下幾種：

1.1 傳統(tǒng)網(wǎng)絡(luò)設(shè)備

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器提供的流量管理功能一般都是附件功能模塊，由于受限于硬件和軟件算法，通過(guò)對(duì)IP包頭、TCP包頭等參數(shù)的分析，通常只能做到上下行限制，無(wú)法應(yīng)對(duì)大流量的網(wǎng)絡(luò)環(huán)境。通過(guò)部署防火墻，檢測(cè)P2P應(yīng)用并封禁相應(yīng)端口，可以取得一定效果，實(shí)踐中發(fā)現(xiàn)，采用這種方法，雖然能取得暫時(shí)效果，但是不久后流量重新飆升，原因是部分P2P應(yīng)用(如BT下載)使用的協(xié)議可以自動(dòng)協(xié)商通訊端口，一旦發(fā)現(xiàn)某端口被封禁，通訊雙方將自動(dòng)更換通訊端口。

1.2 限制用戶的上網(wǎng)流量

使用城市熱點(diǎn)等設(shè)備并部署對(duì)用戶進(jìn)行流量限制的策略，對(duì)每個(gè)用戶的網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格的控制，使之每天可使用的流量限制在一定的范圍內(nèi)。實(shí)踐中發(fā)現(xiàn)，這個(gè)方法雖然可以使用戶在使用P2P軟件時(shí)有所顧及，但是在使用的過(guò)程中也經(jīng)常會(huì)出現(xiàn)部分正常用戶在對(duì)外交流時(shí)因?yàn)榱髁康南拗贫鵁o(wú)法完成。例如，當(dāng)用戶使用的計(jì)算機(jī)感染了病毒之后會(huì)出現(xiàn)突發(fā)的流量將其一天的所有流量耗盡，導(dǎo)致其無(wú)法正常上網(wǎng)。

1.3 限制用戶的上網(wǎng)會(huì)話數(shù)

如使用銳捷廠家的網(wǎng)絡(luò)出口引擎設(shè)備，可以通過(guò)限制用戶的并發(fā)會(huì)話數(shù)來(lái)達(dá)到流量控制的目的。我們通過(guò)基于策略的或者每用戶的并發(fā)會(huì)話數(shù)限制，限制其并發(fā)會(huì)話連接數(shù)為300，這樣可以防止某些用戶或者應(yīng)用(如BT等P2P應(yīng)用)占用過(guò)多的網(wǎng)絡(luò)資源，使用戶能夠公平使用帶寬。但是P2P應(yīng)用往往會(huì)達(dá)到并發(fā)會(huì)話數(shù)限制上限，導(dǎo)致用戶無(wú)法進(jìn)行正常的上網(wǎng)。

1.4 使用專業(yè)流控設(shè)備進(jìn)行控制

以上三種方法雖然都有一定的效果，但不能實(shí)現(xiàn)科學(xué)、可靠、穩(wěn)定的流量控制管理，因此，專業(yè)流控設(shè)備應(yīng)運(yùn)而生，如ACnet、Allot、Cisco SCE等等。其中，Allot使用的策略完全是基于IP地址，通過(guò)對(duì)局域網(wǎng)的所有IP網(wǎng)段進(jìn)行一定優(yōu)先級(jí)別區(qū)分，然后制定不同的IP策略來(lái)實(shí)現(xiàn)流量控制。例如：教學(xué)科研IP地址上傳與下載的速度要高于學(xué)生的IP地址，關(guān)鍵的EMAIL、HTTP應(yīng)用應(yīng)高于P2P的使用。通過(guò)這些措施，能有效地使網(wǎng)絡(luò)流量從無(wú)序轉(zhuǎn)化為智能的控制。采用專業(yè)流控設(shè)備雖然一次性投入比較大，但因?yàn)楣芾硇Ч容^好，采用此種方法是校園網(wǎng)網(wǎng)絡(luò)流控管理的主要發(fā)展方向。

2 P2P應(yīng)用及對(duì)校園網(wǎng)絡(luò)的影響

P2P技術(shù)的對(duì)等概念是指網(wǎng)絡(luò)中的物理節(jié)點(diǎn)在邏輯上具有相同的地位(主要指功能特性對(duì)等，并非處理能力的對(duì)等)，相對(duì)于傳統(tǒng)的集中式客戶/服務(wù)器(C/S)模型，P2P弱化了服務(wù)器的概念，系統(tǒng)中的各個(gè)節(jié)點(diǎn)不再區(qū)分服務(wù)器和客戶端的角色關(guān)系，每個(gè)節(jié)點(diǎn)既可請(qǐng)求服務(wù)，也可提供服務(wù)，既可下載其它節(jié)點(diǎn)的數(shù)據(jù)，同時(shí)也會(huì)向其它節(jié)點(diǎn)上傳數(shù)據(jù)，節(jié)點(diǎn)之間可以直接交換資源和服務(wù)而不必通過(guò)服務(wù)器。

P2P應(yīng)用以其獨(dú)特的優(yōu)勢(shì)受到廣大用戶的喜愛，校園網(wǎng)中基于P2P技術(shù)軟件的應(yīng)用及各種P2P下載軟件的使用越來(lái)越廣泛。在網(wǎng)絡(luò)帶寬有限的情況下，在P2P應(yīng)用不斷增加的同時(shí)，給校園網(wǎng)絡(luò)帶寬帶來(lái)了巨大的沖擊，并對(duì)校園網(wǎng)絡(luò)流量產(chǎn)生了根本影響。P2P對(duì)校園網(wǎng)的影響具體表現(xiàn)為以下幾個(gè)方面。

2.1 校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)

校園網(wǎng)用戶的流量都是匯聚到核心交換機(jī)，然后通過(guò)路由器上聯(lián)到互聯(lián)網(wǎng)，這樣所有的流量都集中在出口，因此校園網(wǎng)流量對(duì)出口的影響是最大的，主要解決出口流量問(wèn)題(如圖1所示)。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.2 網(wǎng)絡(luò)狀況分析

通常情況下，高校還做不到對(duì)網(wǎng)絡(luò)內(nèi)部的流量進(jìn)行分析、應(yīng)用發(fā)現(xiàn)、應(yīng)用識(shí)別以及各種應(yīng)用或協(xié)議所占的帶寬比例，也無(wú)法直觀地看到網(wǎng)絡(luò)流量的運(yùn)行狀態(tài)，缺乏對(duì)網(wǎng)絡(luò)的狀況分析，這使得當(dāng)網(wǎng)絡(luò)出現(xiàn)異常情況時(shí)，并不能準(zhǔn)確地判斷問(wèn)題出在哪里。

2.3 網(wǎng)絡(luò)用戶的多樣性及網(wǎng)絡(luò)使用的公平性

校園網(wǎng)用戶比較復(fù)雜(如圖2所示)，并且由于所有用戶的流量均匯聚到一條鏈路上，而網(wǎng)絡(luò)資源是按照“先到先得”的方式使用的，許多個(gè)人或家庭往往占據(jù)了帶寬的80%，而其資費(fèi)使用只占到總費(fèi)用的20%。

圖2 用戶群分析

2.4 網(wǎng)絡(luò)行為控制

當(dāng)網(wǎng)絡(luò)在傳輸數(shù)據(jù)的過(guò)程中經(jīng)常會(huì)出現(xiàn)許多不可控的流量，無(wú)法對(duì)所有上網(wǎng)用戶進(jìn)行有效的帶寬管理，無(wú)法預(yù)知上網(wǎng)時(shí)大量惡意占用帶寬的用戶，如P2P的應(yīng)用(BitTorrent、eDonkey、KaZaA、Gnutella、WinMx)、MP3音樂(lè)下載等(如圖3)，導(dǎo)致其他用戶的網(wǎng)絡(luò)訪問(wèn)速度降低或減緩。

圖3 P2P應(yīng)用分布

3 合理部署流量控制設(shè)備的策略

3.1 流量設(shè)備的部署

Allot是目前國(guó)內(nèi)應(yīng)用層流量管理設(shè)備中的佼佼者，尤其針對(duì)P2P應(yīng)用進(jìn)行識(shí)別與控制。Allot基于狀態(tài)和特征的檢測(cè)，精確識(shí)別9大類80余種常用協(xié)議的流量(基本囊括了我們?nèi)粘Ｓ玫降乃袇f(xié)議)，它具有專業(yè)的協(xié)議特征庫(kù)，并有先進(jìn)的更新維護(hù)機(jī)制，性能大大優(yōu)于同級(jí)別的硬件。采用主動(dòng)探測(cè)技術(shù)和智能技術(shù)還能識(shí)別某些特征不明顯或者被加密了的通信協(xié)議。在不改變網(wǎng)絡(luò)原有架構(gòu)的前提下，在核心交換機(jī)和路由器之間配置一臺(tái)Allot NetEnforcer設(shè)備(如圖4所示)。

3.2 P2P流量監(jiān)控及管理策略

3.2.1 P2P流量監(jiān)控

可以迅速而有效地對(duì)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行實(shí)時(shí)或長(zhǎng)期的監(jiān)視，同時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部的流量進(jìn)行分析、應(yīng)用發(fā)現(xiàn)、應(yīng)用識(shí)別以及各種應(yīng)用或協(xié)議所占的帶寬比例顯示(如圖5、6所示)

圖4 增加流量設(shè)備后的網(wǎng)絡(luò)架構(gòu)

圖5 實(shí)時(shí)流量分析、應(yīng)用發(fā)現(xiàn)與識(shí)別

圖6 長(zhǎng)期流量分析

3.2.2 策略下放

1)GOPHER、HTTP－BROWSE和HTTPS應(yīng)用設(shè)置單獨(dú)的通道，帶寬保證70M而不超過(guò)150M。

2)對(duì)ANALYZING—TCP和ANALYZING—UDP設(shè)置單獨(dú)的High通道，帶寬保證500M而不超過(guò)1000M。

3)工作時(shí)間P2P應(yīng)用設(shè)置單獨(dú)的通道，帶寬保證100M而不超過(guò)200M(根據(jù)學(xué)校實(shí)際，P2P應(yīng)用主要包括BT、電驢、迅雷、PPlive、PPStream、VoIP等)。

4)休閑時(shí)間P2P應(yīng)用設(shè)置單獨(dú)的通道，帶寬保證200M而不超過(guò)300M(根據(jù)學(xué)校實(shí)際，P2P應(yīng)用主要包括BT、電驢、迅雷、PPlive、PPStream、VoIP等)。

5)每個(gè)IP流量要保證1K而不超過(guò)1M。

3.3 應(yīng)用流控后的效果

在總出口部署Allot后，出口帶寬的流量得到了有效的控制。從圖7我們可以看出在實(shí)施控制策略前，校園網(wǎng)出口帶寬整體都是滿負(fù)荷運(yùn)行，P2P的流量占了總的流入的80%左右，實(shí)施了控制策略后(如圖8)，總出口帶寬流量有了很大的結(jié)余，并且P2P流量占了很小的一部分帶寬，正常應(yīng)用的帶寬得到了保證。

圖7 流量控制前的帶寬分布

圖8 流量控制后的帶寬分布

4 結(jié)語(yǔ)

通過(guò)校園網(wǎng)P2P流量控制，限定每個(gè)用戶、相關(guān)P2P應(yīng)用的帶寬，在有效解決網(wǎng)絡(luò)流量分配不公、極少部分用戶占用大部分資源這個(gè)問(wèn)題上取得了良好的效果。但是還有不足之處，主要體現(xiàn)在流量帶寬數(shù)值的合適點(diǎn)不容易找，并且強(qiáng)制限制P2P應(yīng)用換來(lái)的對(duì)關(guān)鍵業(yè)務(wù)的保證在某種程度上浪費(fèi)了帶寬，因?yàn)榧词巩?dāng)時(shí)有剩余帶寬未用也不能讓P2P占用。因此今后需進(jìn)一步研究，進(jìn)行長(zhǎng)期研究分析并改善策略，使帶寬得到充分利用，更好地提高網(wǎng)絡(luò)運(yùn)行質(zhì)量。

［1］張文，趙子銘.P2P網(wǎng)絡(luò)技術(shù)原理與C++開發(fā)案例［M］.北京：人民郵電出版社，2008

［2］吳偉光.Peer to Peer技術(shù)對(duì)版權(quán)法的挑戰(zhàn)與對(duì)策［J］.電子知識(shí)產(chǎn)權(quán)，2006，(3)

［3］侯自強(qiáng).P2P回歸互聯(lián)網(wǎng)本性［N］.通信產(chǎn)業(yè)報(bào)，

［4］聶瑞華，黃偉強(qiáng)，吳仕毅，羅輝瓊.基于DPI技術(shù)的校園網(wǎng)絡(luò)帶寬管理［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2009，(4)

［5］汪濤.面向高校網(wǎng)絡(luò)流量控制的策略研究［J］.南京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009，(2)

P2P traffic on campus and practice of control

QIN Libo1，MA Yanchun2
(1.China University of Miningand Technology，Xuzhou Jiangsu221008;
2.North China Institute of Science and Technology，Yanjiao Beijing-East101601)

By analyzing a variety of strategies for the management of P2P applications based on P2P on the campus network traffic is not easy to monitor the reasons were analyzed.P2P traffic on the export of the need to control，through the deployment of ALLot system，effectively monitor the campus network P2P application data stream.

campus network;P2P;flow control

TP393.18

A

1672－7169(2011)01－0082－04

2011－01－04

秦利波(1980－)，男，山西長(zhǎng)治人，中國(guó)礦業(yè)大學(xué)在讀碩士研究生，徐州工程學(xué)院網(wǎng)絡(luò)管理中心講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。