摘要：P2P（PeertoPeer，對等網）技術采用“無集中服務器”工作模式，能充分利用大量在線客戶端設備（如PC機等）的資源而優化文件傳輸的能力。P2P應用消除了服務器瓶頸，但也導致網絡帶寬資源的極大消耗。校園網網絡出口由于受到帶寬的限制，P2P應用的增加，勢必導致非主要網絡應用引起帶寬擠占和延遲的增大，在不進行有效管理與控制條件下，將嚴重影響正常的網上辦公教學。本文將在分析各類流量控制方法利弊的基礎上，以某高校為例，討論在校園網中進行P2P流量控制的方法與步驟。
　　關鍵詞：校園網；P2P；流量控制
　　一、背景
　　P2P（PeertoPeer，對等網）技術目前被廣泛應用在文件下載、流媒體、VoIP等業務領域。由于其打破了傳統的C/S（Client/Server，客戶機/服務器模式）網絡服務模型，采用“無集中服務器”模式，能充分利用大量在線客戶端設備（如PC機等）的資源而優化文件傳輸的能力。P2P應用消除了服務器瓶頸，但也導致網絡帶寬資源的極大消耗。
　　校園網中，以BT、Emule、PPlive、eDonkey、迅雷和各種在線音頻、視頻為代表的P2P應用，占用了校園網大量的帶寬資源，導致網絡的擁塞和服務質量下降。校園網網絡出口由于受到帶寬的限制，P2P應用的增加，將導致非主要網絡應用引起帶寬擠占和延遲的增大，校園網出口滿負荷現象嚴重，在不進行有效管理與控制條件下，將嚴重影響正常的網上辦公教學。為了保證校園網用戶
　　能夠“相對平等”的使用網絡資源和帶寬，使基于校園網的日常辦公教學工作正常開展，需要采取必要的技術手段對大量耗費帶寬的P2P應用進行一定程度的監測和調控。
　　二、常用流量控制方法
　　從網絡管理層面來看，流量控制主要是針對P2P應用協議、端口和用戶進行帶寬限制，目前可采用的流量控制方法主要有以下幾種：
　　1．通過防火墻封禁P2P應用端口
　　通過布設在內網出口的防火墻，檢測流量過大P2P應用并封禁相應端口，可以取得一定效果。實踐中發現，采用這一方法，雖然能取得暫時效果，但是不久后流量重新飆升，和封禁之前沒有什么區別，并且封禁UDP端口可能導致一些正常應用無法進行。經分析，原因是部分P2P應用（如BT下載）使用的協議可以自動協商通訊端口，一旦發現某端口被封禁，通訊雙方將自動更換通訊端口，而且目前使用的P2P軟件都允許設置為80這樣正常的端口，所以封禁端口獲得的效果并不理想。
　　2．通過安裝協議識別模塊或網絡監控軟件進行過濾
　　目前網上有一些實用的網絡協議識別模塊或軟件，如“Ethereal協議分析系統”等。經實踐發現，從網上下載協議識別模塊并安裝在NAT服務器上，封禁P2P后，網絡占用率大幅下降，效果立竿見影，但是不久后網絡仍然爆滿，流量會被其他的應用取代。而且在NAT的服務器上封禁應用協議和封禁端口，還會使NAT服務器的CPU占用率飚升，使系統不堪重負。同理，采用一些通用型的網絡監控軟件，對網絡的重點鏈路和互聯點進行簡單的端口級流量監視和統計，或采用在網絡中部分重點業務接入點加裝遠程監控探測的方式，對網絡中部分端口進行網絡流量和上層業務流量的監視和采集，也會存在同類問題，無法完全滿足互聯網業務流量的管理需求。
　　3．限制用戶的上網流量
　　使用城市熱點等設備并部署對用戶進行流量限制的策略，對每個用戶的網絡流量進行嚴格的控制，使之每天可使用的流量限制在一定的范圍內。實踐中發現，這個方法雖然可以使用戶在使用P2P軟件時有所顧及，但是在使用的過程中也經常會出現部分正常用戶在對外交流時因為流量的限制而無法完成。例如，當用戶使用的計算機中了病毒之后會出現突發的流量將其一天的所有流量耗盡，導致其無法正常上網。
　　4.使用專用流控設備進行控制
　　以上三種方法雖然都有一定的效果，但不能實現科學、可靠、穩定的流量控制管理，因此，專業流控設備應運而生，如CiscoSCE、ExtraMonitor等等。其中，CiscoSCE使用所有的策略完全是基于IP地址，通過對局域網的所有IP網段進行一定優先級別區分，然后制定不同的IP策略來實現流量控制。例如：教學科研IP地址上傳與下載的速度要高于學生的IP地址，關鍵的EMAIL，HTTP應用應高于P2P的使用。通過這些措施，能有效地使網絡流量從無序轉化為智能的控制。雖然一次性投入比較大，但因為管理效果比較好，采用此種方法是校園網網絡流控管理的主要發展方向。
　　三、網絡流量控制實施案例
　　1.某高校校園網建設現狀：
　　（1）網絡接入：該校校園網分成辦公教學網和學生宿舍網兩部分共計6000信息點。其中辦公教學網的核心交換機通過100M光纖線路接入Internet，學生宿舍網核心交換機則通過另一千兆光纖接入Internet，兩個核心交換機間使用光纖互聯，并安裝了專用防火墻隔離。
　　（2）應用方面：已成功實施了教務管理系統、網絡課程、OA等全局性的應用系統，以及英語網絡教學系統等系部二級業務系統。
　　（3）信息資源：有五十多臺服務器，其中大部分服務放置網絡中心本地監管，并全部實現聯網。
　　（4）為保證校園網的正常運行，已采取了大量的安全防范措施：如已實現內外網物理隔離、已部署防火墻、城市熱點、防病毒、入侵檢測系統等。
　　（5）專業人員隊伍：網絡中心擁有一批高水平的技術人員，負責校園網的建設與運作維護，同時有安全產品供貨商的技術人員進行指導。
　　2.流控設備選型
　　網絡中的數據是由一個個數據包組成，對每個數據包的分析、處理都要耗費一定的資源。部署在校園網出口處的流量控制設備作為內外網之間的惟一數據通道，如果數據吞吐量太小就會成為網絡瓶頸。因此，為了保障整個網絡的傳輸效率，在其他性能指標類似的基礎上，應優先選擇吞吐量大的產品，如擁有5G吞吐量的CiscoSCE2020等。
　　3.建立網絡流量的監控模型
　　不需對校園網拓撲進行大幅更改，采用透明模式接入，只需將流控設備串聯在核心交換機與防火墻之間，讓其控管、監測整個網絡的出口流量，就可以快速建立網絡流量的監控模型。（如圖1）
　　圖1部署了網絡流量控制設備的網絡拓撲
　　4.提供流量控制服務
　　通過部署專用流控設備，網絡中心開始對校內P2P應用進行有效監控，提供的流量控制服務主要有以下幾項：
　　（1）網絡流量流向分析：通過流量監控，能及時了解校園網內不同屬性網絡流量分布，預測流量變化趨勢，找出網絡瓶頸，為網絡規劃、優化調整提供基礎依據；對應用、用戶進行深入分析，可以準確掌握網絡應用和用戶上網行為，為設計實施更好的用戶服務及產品提供了可靠的基礎數據（如圖2）。
　　
　　圖2網絡流量流向分析圖
　　（2）異常流量分析：當網絡攻擊發生時，從網絡管理層面，對異常流量攻擊實施有效監控和定位；能夠及時響應，對異常流量和一些非法應用進行控制，保證網絡中心IP數據網的正常運行。
　　（3）網絡應用監控：通過建立健全安全監測管理系統，對IP數據網的流量及網上的各種應用協議進行統計分析，結合日常網絡維護操作，重點對異常流量進行分析和預警，實現在IP數據網絡上的網絡安全預警。
　　（4）策略控制能力：能夠實現基于IP地址、端口、業務、時間的帶寬控制。支持的基于應用的帶寬控制包括保證（最小帶寬）、限制（最大帶寬）、流量透傳、丟棄、設置優先級（至少五個級別），確保主流網絡應用的帶寬得到優先分配。
　　5.實施效果
　　充分發揮專用網絡流量控制設備功能，實現了校園網網絡主要為學校辦公教學服務的目標，歸納起來，該校實施P2P流量控制主要達到了以下目的：
　　（1）核心業務系統所需的網絡帶寬有保障，保證基于校園網的學校辦公教學工作能高效進行；
　　（2）對非工作使用網絡應用可根據需要是否設限；
　　（3）實時監測內網流量、掌握網絡資源使用情況，提供完整的工作日志，便于事后查詢；
　　（4）把握網絡流量運行狀況，應對突發事故；
　　（5）優化帶寬資源配置、降低網絡費用；
　　（6）可針對會話數高的應用（如P2P等）作限制，減少核心交換機或路由器、防火墻等網絡設備的負載，減少網絡掉線概率；
　　（7）對校園網內網用戶的上網行為進行有效地分析與控管。
　　四、結束語
　　通過校園網P2P流量控制，限定每個用戶、相關P2P應用的帶寬，首先，能有效解決網絡流量分配不公，極少部分用戶占用了大部分資源的問題。其次，也避免了用戶因為機器中病毒引起的UDP洪水大流量沖擊網關、防火墻等情況，保證網關和防火墻的安全。第三，流控預警機制可以讓用戶為無法預料的網絡事件作出提前的反應。
　　用戶的需求與網絡帶寬的限制就目前而言是一場長久的戰爭，而專業的流控設備僅僅是解決這場戰爭一種捷徑而不是全部。在控制流量的同時，也應考慮通過豐富校內的網絡資源，例如搭建內網網絡視頻點播服務器，收集影音視頻資料，通過引導讓師生在校內進行下載，減少不必要外網下載引起的出口帶寬資源浪費。在控制用戶網絡流量的同時也必須對用戶的上網行為進行合理的引導，并制定相應制度加以規范，這樣雙方面配合才能實現雙贏的結果。
　　
　　
　　參考文獻：
　　[1]張文,趙子銘.P2P網絡技術原理與C++開發案例[M].北京:人民郵電出版社,2008年:1-360.
　　[2]吳偉光.PeertoPeer技術對版權法的挑戰與對策[J].電子知識產權,2006(3):26-30.
　　[3]侯自強.P2P回歸互聯網本性.通信產業報,2005年9月.