校園網P2P行為控制策略研究

陳 棟

（連云港廣播電視大學，江蘇 連云港 222006）

P2P（Peer to Peer）對等網絡技術是在 C/S（客戶機/服務器）、B/S（瀏覽器/服務器）模式之后興起的一項新興的網絡資源共享技術.通過P2P技術構建的網絡不再依賴專用的服務器，而是通過將整個網絡中的每臺計算機作為資源的共享者，提供彼此信息的共享和交換.P2P技術通過依托網絡中眾多參與者的存儲資源和網絡帶寬，而不需要集中于一臺或幾臺服務器上.因此，P2P技術的健壯性和負載性能大大增強，越來越多的互聯網應用軟件趨向于使用P2P技術.P2P技術以其獨特的優勢隨著互聯網的發展而迅速發展，P2P技術廣泛應用于文件下載、視頻直播、VOIP等互聯網應用中.在校園網中，大量的網絡帶寬被P2P流量占用，網絡擁堵現象已經屢見不鮮，嚴重時可造成網絡響應超時，無法正常打開網頁瀏覽，極大影響正常的網絡辦公和教學秩序.

1 校園網P2P流量管理特點

1.1 P2P應用的多樣化

除了常見的迅雷、電驢、比特精靈等下載軟件之外，越來越多的Web應用軟件也使用了P2P技術.比如，由各大視頻網站開發的網絡視頻軟件、由各大網絡游戲商開發的在線網絡游戲以及一些安全軟件和殺毒軟件等也紛紛采用了P2P技術.這些軟件在運行時不僅極大占用了下行帶寬，而且還利用P2P技術的特點占據著上行帶寬，盡最大能力的榨取著校園網的網絡資源.

1.2 P2P連接的多重性

P2P技術為了獲取較高的數據傳輸率，通常會建立多條雙向的TCP連接用于提高網絡利用率和吞吐量.由于網絡資源數對于P2P的下載速率有著極大的影響，所以P2P軟件會建立盡可能多的TCP連接，當連接數劇烈增多時，對校園網的核心交換機和路由器的性能有著非常強大的侵略性影響.

1.3 P2P檢測技術的復雜性

P2P軟件在近些年經歷著快速發展的過程，由低級到高級，由簡單到復雜的轉變.早期的P2P軟件通常使用固定端口和協議，比較容易被檢測和管理.如今的P2P軟件已采用動態隨機端口，甚至采用了加密技術來逃避識別和檢測，給網絡管理人員的管理帶來很大困難.

2 SANGFOR上網行為管理系統

SANGFOR上網行為管理系統是由我國依托自主產權技術開發的基于對網絡數據流分析和深度內容檢測，針對網絡流量進行全面分析和管理的一種網絡管理設備.SANGFOR具有強大的流量控制功能，可以精準的識別各種P2P應用，最大可以處理1Gbps并發用戶的實際流量，實現了基于應用層流量管理和帶寬分配.

3 在校園網中部署上網行為管理系統

SANGFOR上網行為管理系統可以以網橋模式、旁路模式、路由模式三種方式部署在網絡中.網橋模式不需要改變現存網絡結構，以平滑方式架設到網絡中，可以實現除NAT之外的所有功能；旁路模式需要連接在內網核心交換機的鏡像端口上，只對整個網絡實施旁路式的監控審計功能，許多其他功能無法實現；路由模式需要將設備充當路由器使用，可以實現所有功能，對網絡結構改變較大.考慮到在保護原有網絡投資以及對網絡變動影響最小的前提下，選擇將SANGFOR上網行為管理系統以網橋模式接入網絡，是一種比較好的方案.部署結構如下圖所示：

圖1 SANGFOR上網行為管理系統部署拓撲圖

4 上網行為管理系統的配置

4.1 SANGFOR上網行為管理系統的端口配置

以SG-4300為例，以網橋模式接入時，需要至少用到三個端口：eth0、eth1、eth2，分別對應著內網端口、管理端口、外網端口，內網端口eth0接入核心交換機、外網端口eth2接入防火墻、管理端口接入控制臺計算機即可.另外，如果以Web方式登錄管理界面，還需要將管理端口配置上合適的IP地址（默認：10.252.252.252/32），這樣可以通過在地址欄輸入HTTPS://10.252.252.252來登錄管理界面.

4.2 SANGFOR上網行為管理系統的流量管理策略配置

4.2.1 對象定義

在“對象定義”的“IP組”中添加內網所有網段的IP組/用戶，并在時間計劃組中，添加“正常上班時間”段.如圖2、圖3所示：

圖2 IP組設置

圖3 時間組計劃設置

4.2.2 帶寬分配

在“流量管理”的“通道配置”中，第一步，添加“基礎應用保障”，應對 HTTP、FTP、ICMP、DNS、SSL、IM、郵件等基礎應用協議提供帶寬保證，設置優先級為“中”、最大上下行帶寬100%、保證帶寬10%、通道使用范圍選擇“正常上班時間”（如圖4所示）.第二步，添加“P2P流量限制”，對 P2P、P2P流媒體、下載工具、網絡流媒體、電影等預置應用做出限制，設置優先級為“高”、限制通道最大上下行帶寬0%、通道使用范圍選擇“正常上班時間”（如圖5所示）.第三步，添加“教學樓總帶寬限制”，對教學樓IP組進行最大30%上下行帶寬限制，優先級為“中”、啟用限制單IP最大帶寬并限制上下行帶寬各為200KB/s，通道使用范圍選擇“正常上班時間”，選中“當線路空閑時，允許突破限制”的復選框，這樣可以保證帶寬得到充分利用（如圖6所示）.最后，仿照第三步，依次添加校園網各個網段的流量限制策略.

圖4 基礎應用保障

圖5 P2P流量限制

圖6 各網段總帶寬限制（教學樓）

5 上網行為管理系統效果分析

5.1 策略執行之前流量分析

通過系統截圖（圖7、圖8）如下,在沒有啟用流量管理系統之前的流速趨勢圖和流量排名圖.

圖7 策略執行前應用流速趨勢

圖8 策略執行前應用流量排名

應用流速分析：從上午8點上班開始到10點這個區間段，整個應用流速情況是訪問網站的流速最大（圖7中藍色部分），其次是P2P行為的流速（圖7中綠色部分）.

應用流量排名分析：在上午9點50分時刻截取的應用流量排名圖中，P2P行為有高達56.7%的占用率，占用了校園網超過一半的帶寬，其次是多線程下載和網頁瀏覽行為各有18.1%和16.5%的占用率.

校園網帶寬使用情況：校園網帶寬使用已達上限，網絡中高峰時段（9點20分）出現嚴重擁堵的情況，無法正常的打開網站，網頁瀏覽極為緩慢.

5.2 策略執行之后的流量分析

通過系統截圖（圖9、圖10）如下，在次日同時段啟用流量管理系統之前的流速趨勢圖和流量排名圖.

圖9 策略執行后應用流速趨勢

圖10 策略執行后應用流量排名

應用流速分析：為了方便對比分析，選取從啟用流量管理系統之后后的次日上午8點上班開始到10點這個區間段，整個應用流速情況仍是訪問網站的流速最大（圖9中藍色部分），而P2P行為的流速幾乎趨近于零（圖9中P2P應用流速在該時段已經小到無法顯示）.

應用流量排名分析：在次日上午10點整時刻截取的應用流量排名圖中，網站瀏覽行為有70.9%的帶寬占用率，占用了校園網超過一半的帶寬，其次是多線程下載行為有著17.9%的帶寬占用率.

校園網帶寬使用情況：在執行策略之后，校園網帶寬明顯的富余，網絡中無擁堵的情況出現，正常的網頁瀏覽非常順利，而P2P下載和視頻功能幾乎無法使用，達到了限制P2P流量的預期目的.

6 結語

使用上網行為管理系統的主要目的是對師生的網絡行為進行規范的一種手段.借助上網行為管理系統限制非教學流量，可以更有效的提高校園網帶寬的利用率，也對校園網用戶的網絡行為起到了引導作用，一方面既保護了學校在網絡帶寬方面的投資，另一方面也提高了網絡辦公和網上教學的效率.另外，在限制P2P應用的同時，也必須對正常的網絡基礎應用實施帶寬保障.由于P2P技術的快速發展，P2P相關協議也越來越隱蔽，其流量特點越來越接近正常的HTTP協議，為了快速有效的識別和管控P2P流量，必須定期升級SANGFOR上網行為管理系統的應用識別庫.

〔1〕元業云.基于Skype P2P混合模式網絡的流量控制技術的研究[J].信息網絡安全，2012（11）.

〔2〕楊林.P2P流實時識別技術研究[J].計算機科學，2012（2）.

〔3〕李亞.淺談校園網P2P流量檢測與控制[J].吉林省教育學院學報(中旬)，2012（11）.

〔4〕王春華.P2P 流量適度的控與放[J].科技傳播，2012（16）.

〔5〕宋志.基于校園網的P2P技術應用與控制的研究[J].網絡安全技術與應用，2012（8）.

〔6〕李元.P2P 流量識別技術研究[J].信息通信，2013（9）.

〔7〕潘呈昀.探索P2P網絡技術發展[J].信息與電腦(理論版)，2013（1）.

〔8〕韓淑芳.基于P2P技術的網絡應用及分析探討[J].電子技術與軟件工程，2013（15）.

〔9〕鄒進明.學校公用計算機機房P2P網絡流量管理策略[J].計算機光盤軟件與應用，2013（8）.