高校校园网P2P网络流量的监测与控制研究

摘要：随着P2P技术和应用在校园网内的广泛使用，在带给用户全新网络应用体验的同时，也给校园网有限的网络带宽带来前所未有的压力。对校园网P2P网络流量进行有效监测与控制已成为保障网络正常运行必须解决的问题。本文对比分析了几种P2P网络流量的监测与控制技术，以广西机电职业技术学院校园网为例，提出高校校园网P2P网络流量监测与控制的解决方案。

关键词：P2P 校园网 流量监测 流量控制

中图分类号：TN914 文献标识码：A 文章编号：1007-9416(2012)07-0026-02

P2P技术利用客户端的处理能力，实现了点到点的通信，可最大限度的共享P2P网络中的软硬件资源，极大的提高了用户获取网络资源的效率。然而，P2P技术和应用的无序性，对网络带宽占用的无度性，又缺乏有效监管与控制，使网络关键链路常处于拥塞状态，导致Web浏览、Email等基本网络业务，以及有关工作流程的关键网络业务无法正常使用。尤其是校园网用户多、应用广、学生用户思想活跃喜欢尝试各种P2P应用，即使不断增加出口带宽，升级设备，也无法应对P2P对带宽无休止的抢占。如何实现对P2P网络流量的有效监测与控制，保障校园网有限带宽合理使用，已成为校园网管理中必须要解决的问题。

1、P2P网络流量对校园网的影响

鉴于P2P技术自身“非中心化”、高速、海量、扩展性强、穿透性强、上下行流量对称等特性，P2P技术已应用到资源共享、文件下载、对等计算、即时通讯、流媒体、搜索引擎等方方面面。如能科学合理的运用P2P技术，必将为广大师生的学习、生活和工作提供更丰富的信息化手段。如对P2P技术不能进行有效的监测与控制，也正是由于P2P技术同样的特性，必将对校园网有限的带宽造成巨大的消耗，带来一系列负面的影响。

1.1 吞噬网络带宽

如图1所示为学院校园网在实施P2P网络流量控制前，其中70%的校园网网络带宽被P2P下裁、NetTV、Stream等P2P应用所吐噬，再加上网络蠕虫、病毒泛滥，Http、Emil以及有关工作流程的业务应用能正常使用的带宽就所剩无几了，造成网络运行速度变慢或时断时续，同时，网络带宽不足反过来也会影响P2P应用。

1.2 阻碍网站访问

因为P2P应用具上下行流量对称的特性，必将占用大量校园网上行流量，从而影响校园网对外服务，造成校外用户浏览学院网站变慢，或根本打不开，校内电子邮箱收不到校外邮件，进而影响学校对外宣传和交流。

1.3 增加安全隐患

P2P网络各节点可直接访问，资源共享，并且P2P应用还可穿透防火墙。从而更容易造成蠕虫、病毒相互传染、快速传播。P2P应用给用户带来更多的安全隐患。

2、P2P网络流量监测技术

2.1 关键节点监测

基于关键节点的P2P监测是一种传统报文监测手段。P2P网络中的关键节点就是在维护P2P网络健壮性、扩展性和连通性等方面具有重要作用的节点[2]。

由于所有的P2P用户都存在与关键节点的交互，因此监测关键节点，就能对该P2P应用进行监测。早期P2P网络中的关键节点相对固定和集中，但越来越多的P2P应用“泛化”关键节点，使得基于关键节点的监测方法越来越难以实现。

2.2 端口监测

基于协议端口的P2P监测也是一种传统报文监测手段。早期的P2P应用大多采用缺省协议端口实现P2P节点之间的通信。基于缺省协议端口就可监测到P2P应用中所有用户和节点之间交互过程。这种监测方式利用现有网络条件就可实现，不需要增加什么投资成本，对早期P2P应用的监控较为有效。

但是，越来越多的P2P应用采用随机生成端口号，或手工设定端口号，或自动改变端口号的方法，基于协议端口的P2P监测就无法实现了。

2.3 DPI技术监测

深度报文检测（Deep Packet Inspection,DPI）技术是相对于传统报文检测技术而提出的一种典型应用检测技术。DPI技术目前并没有一个较明确的定义，但普遍认为， DPI除了具备对报文头部信息、源/目的IP地址、源/目的协议端口和协议类型等进行监测分析等普通报文监测分析能力外，还可结合报文净荷（payload）及报文之间的关联性等因素进行监测，实现报文的“深度”识别[2]。

2.4 DFI技术监测

深度流行为检测（Deep Flow Inspection,DFI）技术也是一种典型应用检测技术。DFI主要是通过对网络流量状态、持续时间、流量速率、字节长度等参数分析统计来监测P2P应用类型和状态的。相对DPI技术，DFI可监测到未知的P2P流量，但监测精度没DPI高，容易出现误判。所以，DFI适合快速监测，DPI适合精确监测，各有千秋，在高端流量控制设备中一般都集成DFI和DPI两种监测技术，取长补短。

3、P2P网络流量监测控制实现

3.1 实现方式

(1)充分利用校园网已有设备和资源，通过在防火墙、路由器、核心交换机、汇聚交换机等设备上划分VLAN和设置ACL，对网络流量进行分流，对P2P流量进行封堵。虽然此方法不需额外资金投入，但不便集中管理，工作量大，且效果不理想，尤其是对控制P2P流量无效，因为ACL主要是基于协议端口进行控制，对当前端口“泛化”的P2P技术无能为力。此方法主要适用于小型网络。

(2)使用Panab it等免费、专业的流量管理软件进行P2P网络流量监测控制。Panab it是基于网络流量状态和特征进行监测控制，具专业的网络流量协议特征库，并能免费更新，能监测出绝大多数P2P流量。Panab it默认的控制方式只有允许和阻断，对P2P网络流量的控制不灵活，不精确。并且，Panab it的处理能力受限于所安装的硬件，不适合大型网络使用。

(3)利用多业务安全网关中的流量监测控制模块进行P2P网络流量监测控制。安全网关是种多业务、全方位解决网络安全问题的产品，提供全面的防火墙、病毒防护、入侵检测、入侵防护、DDOS恶意攻击防护、VPN和流量控制等功能。对网络流量监测控制只是其中一项业务，并且是一项需消耗大量资源的功能，在大型网络中不适合启用安全网关此项功能。