摘要：P2P（PeertoPeer，對(duì)等網(wǎng)）技術(shù)采用“無集中服務(wù)器”工作模式，能充分利用大量在線客戶端設(shè)備（如PC機(jī)等）的資源而優(yōu)化文件傳輸?shù)哪芰Α�P2P應(yīng)用消除了服務(wù)器瓶頸，但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。校園網(wǎng)網(wǎng)絡(luò)出口由于受到帶寬的限制，P2P應(yīng)用的增加，勢(shì)必導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引起帶寬擠占和延遲的增大，在不進(jìn)行有效管理與控制條件下，將嚴(yán)重影響正常的網(wǎng)上辦公教學(xué)。本文將在分析各類流量控制方法利弊的基礎(chǔ)上，以某高校為例，討論在校園網(wǎng)中進(jìn)行P2P流量控制的方法與步驟。
　　關(guān)鍵詞：校園網(wǎng)；P2P；流量控制
　　一、背景
　　P2P（PeertoPeer，對(duì)等網(wǎng)）技術(shù)目前被廣泛應(yīng)用在文件下載、流媒體、VoIP等業(yè)務(wù)領(lǐng)域。由于其打破了傳統(tǒng)的C/S（Client/Server，客戶機(jī)/服務(wù)器模式）網(wǎng)絡(luò)服務(wù)模型，采用“無集中服務(wù)器”模式，能充分利用大量在線客戶端設(shè)備（如PC機(jī)等）的資源而優(yōu)化文件傳輸?shù)哪芰Α�P2P應(yīng)用消除了服務(wù)器瓶頸，但也導(dǎo)致網(wǎng)絡(luò)帶寬資源的極大消耗。
　　校園網(wǎng)中，以BT、Emule、PPlive、eDonkey、迅雷和各種在線音頻、視頻為代表的P2P應(yīng)用，占用了校園網(wǎng)大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁塞和服務(wù)質(zhì)量下降。校園網(wǎng)網(wǎng)絡(luò)出口由于受到帶寬的限制，P2P應(yīng)用的增加，將導(dǎo)致非主要網(wǎng)絡(luò)應(yīng)用引起帶寬擠占和延遲的增大，校園網(wǎng)出口滿負(fù)荷現(xiàn)象嚴(yán)重，在不進(jìn)行有效管理與控制條件下，將嚴(yán)重影響正常的網(wǎng)上辦公教學(xué)。為了保證校園網(wǎng)用戶
　　能夠“相對(duì)平等”的使用網(wǎng)絡(luò)資源和帶寬，使基于校園網(wǎng)的日常辦公教學(xué)工作正常開展，需要采取必要的技術(shù)手段對(duì)大量耗費(fèi)帶寬的P2P應(yīng)用進(jìn)行一定程度的監(jiān)測(cè)和調(diào)控。
　　二、常用流量控制方法
　　從網(wǎng)絡(luò)管理層面來看，流量控制主要是針對(duì)P2P應(yīng)用協(xié)議、端口和用戶進(jìn)行帶寬限制，目前可采用的流量控制方法主要有以下幾種：
　　1．通過防火墻封禁P2P應(yīng)用端口
　　通過布設(shè)在內(nèi)網(wǎng)出口的防火墻，檢測(cè)流量過大P2P應(yīng)用并封禁相應(yīng)端口，可以取得一定效果。實(shí)踐中發(fā)現(xiàn)，采用這一方法，雖然能取得暫時(shí)效果，但是不久后流量重新飆升，和封禁之前沒有什么區(qū)別，并且封禁UDP端口可能導(dǎo)致一些正常應(yīng)用無法進(jìn)行。經(jīng)分析，原因是部分P2P應(yīng)用（如BT下載）使用的協(xié)議可以自動(dòng)協(xié)商通訊端口，一旦發(fā)現(xiàn)某端口被封禁，通訊雙方將自動(dòng)更換通訊端口，而且目前使用的P2P軟件都允許設(shè)置為80這樣正常的端口，所以封禁端口獲得的效果并不理想。
　　2．通過安裝協(xié)議識(shí)別模塊或網(wǎng)絡(luò)監(jiān)控軟件進(jìn)行過濾
　　目前網(wǎng)上有一些實(shí)用的網(wǎng)絡(luò)協(xié)議識(shí)別模塊或軟件，如“Ethereal協(xié)議分析系統(tǒng)”等。經(jīng)實(shí)踐發(fā)現(xiàn)，從網(wǎng)上下載協(xié)議識(shí)別模塊并安裝在NAT服務(wù)器上，封禁P2P后，網(wǎng)絡(luò)占用率大幅下降，效果立竿見影，但是不久后網(wǎng)絡(luò)仍然爆滿，流量會(huì)被其他的應(yīng)用取代。而且在NAT的服務(wù)器上封禁應(yīng)用協(xié)議和封禁端口，還會(huì)使NAT服務(wù)器的CPU占用率飚升，使系統(tǒng)不堪重負(fù)。同理，采用一些通用型的網(wǎng)絡(luò)監(jiān)控軟件，對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì)，或采用在網(wǎng)絡(luò)中部分重點(diǎn)業(yè)務(wù)接入點(diǎn)加裝遠(yuǎn)程監(jiān)控探測(cè)的方式，對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集，也會(huì)存在同類問題，無法完全滿足互聯(lián)網(wǎng)業(yè)務(wù)流量的管理需求。
　　3．限制用戶的上網(wǎng)流量
　　使用城市熱點(diǎn)等設(shè)備并部署對(duì)用戶進(jìn)行流量限制的策略，對(duì)每個(gè)用戶的網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格的控制，使之每天可使用的流量限制在一定的范圍內(nèi)。實(shí)踐中發(fā)現(xiàn)，這個(gè)方法雖然可以使用戶在使用P2P軟件時(shí)有所顧及，但是在使用的過程中也經(jīng)常會(huì)出現(xiàn)部分正常用戶在對(duì)外交流時(shí)因?yàn)榱髁康南拗贫鵁o法完成。例如，當(dāng)用戶使用的計(jì)算機(jī)中了病毒之后會(huì)出現(xiàn)突發(fā)的流量將其一天的所有流量耗盡，導(dǎo)致其無法正常上網(wǎng)。
　　4.使用專用流控設(shè)備進(jìn)行控制
　　以上三種方法雖然都有一定的效果，但不能實(shí)現(xiàn)科學(xué)、可靠、穩(wěn)定的流量控制管理，因此，專業(yè)流控設(shè)備應(yīng)運(yùn)而生，如CiscoSCE、ExtraMonitor等等。其中，CiscoSCE使用所有的策略完全是基于IP地址，通過對(duì)局域網(wǎng)的所有IP網(wǎng)段進(jìn)行一定優(yōu)先級(jí)別區(qū)分，然后制定不同的IP策略來實(shí)現(xiàn)流量控制。例如：教學(xué)科研IP地址上傳與下載的速度要高于學(xué)生的IP地址，關(guān)鍵的EMAIL，HTTP應(yīng)用應(yīng)高于P2P的使用。通過這些措施，能有效地使網(wǎng)絡(luò)流量從無序轉(zhuǎn)化為智能的控制。雖然一次性投入比較大，但因?yàn)楣芾硇Ч�比較好，采用此種方法是校園網(wǎng)網(wǎng)絡(luò)流控管理的主要發(fā)展方向。
　　三、網(wǎng)絡(luò)流量控制實(shí)施案例
　　1.某高校校園網(wǎng)建設(shè)現(xiàn)狀：
　　（1）網(wǎng)絡(luò)接入：該校校園網(wǎng)分成辦公教學(xué)網(wǎng)和學(xué)生宿舍網(wǎng)兩部分共計(jì)6000信息點(diǎn)。其中辦公教學(xué)網(wǎng)的核心交換機(jī)通過100M光纖線路接入Internet，學(xué)生宿舍網(wǎng)核心交換機(jī)則通過另一千兆光纖接入Internet，兩個(gè)核心交換機(jī)間使用光纖互聯(lián)，并安裝了專用防火墻隔離。
　　（2）應(yīng)用方面：已成功實(shí)施了教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)課程、OA等全局性的應(yīng)用系統(tǒng)，以及英語(yǔ)網(wǎng)絡(luò)教學(xué)系統(tǒng)等系部二級(jí)業(yè)務(wù)系統(tǒng)。
　　（3）信息資源：有五十多臺(tái)服務(wù)器，其中大部分服務(wù)放置網(wǎng)絡(luò)中心本地監(jiān)管，并全部實(shí)現(xiàn)聯(lián)網(wǎng)。
　　（4）為保證校園網(wǎng)的正常運(yùn)行，已采取了大量的安全防范措施：如已實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離、已部署防火墻、城市熱點(diǎn)、防病毒、入侵檢測(cè)系統(tǒng)等。
　　（5）專業(yè)人員隊(duì)伍：網(wǎng)絡(luò)中心擁有一批高水平的技術(shù)人員，負(fù)責(zé)校園網(wǎng)的建設(shè)與運(yùn)作維護(hù)，同時(shí)有安全產(chǎn)品供貨商的技術(shù)人員進(jìn)行指導(dǎo)。
　　2.流控設(shè)備選型
　　網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)包組成，對(duì)每個(gè)數(shù)據(jù)包的分析、處理都要耗費(fèi)一定的資源。部署在校園網(wǎng)出口處的流量控制設(shè)備作為內(nèi)外網(wǎng)之間的惟一數(shù)據(jù)通道，如果數(shù)據(jù)吞吐量太小就會(huì)成為網(wǎng)絡(luò)瓶頸。因此，為了保障整個(gè)網(wǎng)絡(luò)的傳輸效率，在其他性能指標(biāo)類似的基礎(chǔ)上，應(yīng)優(yōu)先選擇吞吐量大的產(chǎn)品，如擁有5G吞吐量的CiscoSCE2020等。
　　3.建立網(wǎng)絡(luò)流量的監(jiān)控模型
　　不需對(duì)校園網(wǎng)拓?fù)溥M(jìn)行大幅更改，采用透明模式接入，只需將流控設(shè)備串聯(lián)在核心交換機(jī)與防火墻之間，讓其控管、監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的出口流量，就可以快速建立網(wǎng)絡(luò)流量的監(jiān)控模型。（如圖1）
　　圖1部署了網(wǎng)絡(luò)流量控制設(shè)備的網(wǎng)絡(luò)拓?fù)?br /> 　　4.提供流量控制服務(wù)
　　通過部署專用流控設(shè)備，網(wǎng)絡(luò)中心開始對(duì)校內(nèi)P2P應(yīng)用進(jìn)行有效監(jiān)控，提供的流量控制服務(wù)主要有以下幾項(xiàng)：
　　（1）網(wǎng)絡(luò)流量流向分析：通過流量監(jiān)控，能及時(shí)了解校園網(wǎng)內(nèi)不同屬性網(wǎng)絡(luò)流量分布，預(yù)測(cè)流量變化趨勢(shì)，找出網(wǎng)絡(luò)瓶頸，為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整提供基礎(chǔ)依據(jù)；對(duì)應(yīng)用、用戶進(jìn)行深入分析，可以準(zhǔn)確掌握網(wǎng)絡(luò)應(yīng)用和用戶上網(wǎng)行為，為設(shè)計(jì)實(shí)施更好的用戶服務(wù)及產(chǎn)品提供了可靠的基礎(chǔ)數(shù)據(jù)（如圖2）。
　　
　　圖2網(wǎng)絡(luò)流量流向分析圖
　　（2）異常流量分析：當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，從網(wǎng)絡(luò)管理層面，對(duì)異常流量攻擊實(shí)施有效監(jiān)控和定位；能夠及時(shí)響應(yīng)，對(duì)異常流量和一些非法應(yīng)用進(jìn)行控制，保證網(wǎng)絡(luò)中心IP數(shù)據(jù)網(wǎng)的正常運(yùn)行。
　　（3）網(wǎng)絡(luò)應(yīng)用監(jiān)控：通過建立健全安全監(jiān)測(cè)管理系統(tǒng)，對(duì)IP數(shù)據(jù)網(wǎng)的流量及網(wǎng)上的各種應(yīng)用協(xié)議進(jìn)行統(tǒng)計(jì)分析，結(jié)合日常網(wǎng)絡(luò)維護(hù)操作，重點(diǎn)對(duì)異常流量進(jìn)行分析和預(yù)警，實(shí)現(xiàn)在IP數(shù)據(jù)網(wǎng)絡(luò)上的網(wǎng)絡(luò)安全預(yù)警。
　　（4）策略控制能力：能夠?qū)崿F(xiàn)基于IP地址、端口、業(yè)務(wù)、時(shí)間的帶寬控制。支持的基于應(yīng)用的帶寬控制包括保證（最小帶寬）、限制（最大帶寬）、流量透?jìng)鳌�丟棄、設(shè)置優(yōu)先級(jí)（至少五個(gè)級(jí)別），確保主流網(wǎng)絡(luò)應(yīng)用的帶寬得到優(yōu)先分配。
　　5.實(shí)施效果
　　充分發(fā)揮專用網(wǎng)絡(luò)流量控制設(shè)備功能，實(shí)現(xiàn)了校園網(wǎng)網(wǎng)絡(luò)主要為學(xué)校辦公教學(xué)服務(wù)的目標(biāo)，歸納起來，該校實(shí)施P2P流量控制主要達(dá)到了以下目的：
　　（1）核心業(yè)務(wù)系統(tǒng)所需的網(wǎng)絡(luò)帶寬有保障，保證基于校園網(wǎng)的學(xué)校辦公教學(xué)工作能高效進(jìn)行；
　　（2）對(duì)非工作使用網(wǎng)絡(luò)應(yīng)用可根據(jù)需要是否設(shè)限；
　　（3）實(shí)時(shí)監(jiān)測(cè)內(nèi)網(wǎng)流量、掌握網(wǎng)絡(luò)資源使用情況，提供完整的工作日志，便于事后查詢；
　　（4）把握網(wǎng)絡(luò)流量運(yùn)行狀況，應(yīng)對(duì)突發(fā)事故；
　　（5）優(yōu)化帶寬資源配置、降低網(wǎng)絡(luò)費(fèi)用；
　　（6）可針對(duì)會(huì)話數(shù)高的應(yīng)用（如P2P等）作限制，減少核心交換機(jī)或路由器、防火墻等網(wǎng)絡(luò)設(shè)備的負(fù)載，減少網(wǎng)絡(luò)掉線概率；
　　（7）對(duì)校園網(wǎng)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行有效地分析與控管。
　　四、結(jié)束語(yǔ)
　　通過校園網(wǎng)P2P流量控制，限定每個(gè)用戶、相關(guān)P2P應(yīng)用的帶寬，首先，能有效解決網(wǎng)絡(luò)流量分配不公，極少部分用戶占用了大部分資源的問題。其次，也避免了用戶因?yàn)闄C(jī)器中病毒引起的UDP洪水大流量沖擊網(wǎng)關(guān)、防火墻等情況，保證網(wǎng)關(guān)和防火墻的安全。第三，流控預(yù)警機(jī)制可以讓用戶為無法預(yù)料的網(wǎng)絡(luò)事件作出提前的反應(yīng)。
　　用戶的需求與網(wǎng)絡(luò)帶寬的限制就目前而言是一場(chǎng)長(zhǎng)久的戰(zhàn)爭(zhēng)，而專業(yè)的流控設(shè)備僅僅是解決這場(chǎng)戰(zhàn)爭(zhēng)一種捷徑而不是全部。在控制流量的同時(shí)，也應(yīng)考慮通過豐富校內(nèi)的網(wǎng)絡(luò)資源，例如搭建內(nèi)網(wǎng)網(wǎng)絡(luò)視頻點(diǎn)播服務(wù)器，收集影音視頻資料，通過引導(dǎo)讓師生在校內(nèi)進(jìn)行下載，減少不必要外網(wǎng)下載引起的出口帶寬資源浪費(fèi)。在控制用戶網(wǎng)絡(luò)流量的同時(shí)也必須對(duì)用戶的上網(wǎng)行為進(jìn)行合理的引導(dǎo)，并制定相應(yīng)制度加以規(guī)范，這樣雙方面配合才能實(shí)現(xiàn)雙贏的結(jié)果。
　　
　　
　　參考文獻(xiàn)：
　　[1]張文,趙子銘.P2P網(wǎng)絡(luò)技術(shù)原理與C++開發(fā)案例[M].北京:人民郵電出版社,2008年:1-360.
　　[2]吳偉光.PeertoPeer技術(shù)對(duì)版權(quán)法的挑戰(zhàn)與對(duì)策[J].電子知識(shí)產(chǎn)權(quán),2006(3):26-30.
　　[3]侯自強(qiáng).P2P回歸互聯(lián)網(wǎng)本性.通信產(chǎn)業(yè)報(bào),2005年9月.