校园网P2P流量控制方法及典型案例

所属栏目:计算机网络论文 发布日期:2010-12-21 17:30 热度:

  摘要:P2P(PeertoPeer,对等网)技术采用“无集中服务器”工作模式,能充分利用大量在线客户端设备(如PC机等)的资源而优化文件传输的能力。P2P应用消除了服务器瓶颈,但也导致网络带宽资源的极大消耗。校园网网络出口由于受到带宽的限制,P2P应用的增加,势必导致非主要网络应用引起带宽挤占和延迟的增大,在不进行有效管理与控制条件下,将严重影响正常的网上办公教学。本文将在分析各类流量控制方法利弊的基础上,以某高校为例,讨论在校园网中进行P2P流量控制的方法与步骤。
  关键词:校园网;P2P;流量控制
  一、背景
  P2P(PeertoPeer,对等网)技术目前被广泛应用在文件下载、流媒体、VoIP等业务领域。由于其打破了传统的C/S(Client/Server,客户机/服务器模式)网络服务模型,采用“无集中服务器”模式,能充分利用大量在线客户端设备(如PC机等)的资源而优化文件传输的能力。P2P应用消除了服务器瓶颈,但也导致网络带宽资源的极大消耗。
  校园网中,以BT、Emule、PPlive、eDonkey、迅雷和各种在线音频、视频为代表的P2P应用,占用了校园网大量的带宽资源,导致网络的拥塞和服务质量下降。校园网网络出口由于受到带宽的限制,P2P应用的增加,将导致非主要网络应用引起带宽挤占和延迟的增大,校园网出口满负荷现象严重,在不进行有效管理与控制条件下,将严重影响正常的网上办公教学。为了保证校园网用户
  能够“相对平等”的使用网络资源和带宽,使基于校园网的日常办公教学工作正常开展,需要采取必要的技术手段对大量耗费带宽的P2P应用进行一定程度的监测和调控。
  二、常用流量控制方法
  从网络管理层面来看,流量控制主要是针对P2P应用协议、端口和用户进行带宽限制,目前可采用的流量控制方法主要有以下几种:
  1.通过防火墙封禁P2P应用端口
  通过布设在内网出口的防火墙,检测流量过大P2P应用并封禁相应端口,可以取得一定效果。实践中发现,采用这一方法,虽然能取得暂时效果,但是不久后流量重新飙升,和封禁之前没有什么区别,并且封禁UDP端口可能导致一些正常应用无法进行。经分析,原因是部分P2P应用(如BT下载)使用的协议可以自动协商通讯端口,一旦发现某端口被封禁,通讯双方将自动更换通讯端口,而且目前使用的P2P软件都允许设置为80这样正常的端口,所以封禁端口获得的效果并不理想。
  2.通过安装协议识别模块或网络监控软件进行过滤
  目前网上有一些实用的网络协议识别模块或软件,如“Ethereal协议分析系统”等。经实践发现,从网上下载协议识别模块并安装在NAT服务器上,封禁P2P后,网络占用率大幅下降,效果立竿见影,但是不久后网络仍然爆满,流量会被其他的应用取代。而且在NAT的服务器上封禁应用协议和封禁端口,还会使NAT服务器的CPU占用率飚升,使系统不堪重负。同理,采用一些通用型的网络监控软件,对网络的重点链路和互联点进行简单的端口级流量监视和统计,或采用在网络中部分重点业务接入点加装远程监控探测的方式,对网络中部分端口进行网络流量和上层业务流量的监视和采集,也会存在同类问题,无法完全满足互联网业务流量的管理需求。
  3.限制用户的上网流量
  使用城市热点等设备并部署对用户进行流量限制的策略,对每个用户的网络流量进行严格的控制,使之每天可使用的流量限制在一定的范围内。实践中发现,这个方法虽然可以使用户在使用P2P软件时有所顾及,但是在使用的过程中也经常会出现部分正常用户在对外交流时因为流量的限制而无法完成。例如,当用户使用的计算机中了病毒之后会出现突发的流量将其一天的所有流量耗尽,导致其无法正常上网。
  4.使用专用流控设备进行控制
  以上三种方法虽然都有一定的效果,但不能实现科学、可靠、稳定的流量控制管理,因此,专业流控设备应运而生,如CiscoSCE、ExtraMonitor等等。其中,CiscoSCE使用所有的策略完全是基于IP地址,通过对局域网的所有IP网段进行一定优先级别区分,然后制定不同的IP策略来实现流量控制。例如:教学科研IP地址上传与下载的速度要高于学生的IP地址,关键的EMAIL,HTTP应用应高于P2P的使用。通过这些措施,能有效地使网络流量从无序转化为智能的控制。虽然一次性投入比较大,但因为管理效果比较好,采用此种方法是校园网网络流控管理的主要发展方向。
  三、网络流量控制实施案例
  1.某高校校园网建设现状:
  (1)网络接入:该校校园网分成办公教学网和学生宿舍网两部分共计6000信息点。其中办公教学网的核心交换机通过100M光纤线路接入Internet,学生宿舍网核心交换机则通过另一千兆光纤接入Internet,两个核心交换机间使用光纤互联,并安装了专用防火墙隔离。
  (2)应用方面:已成功实施了教务管理系统、网络课程、OA等全局性的应用系统,以及英语网络教学系统等系部二级业务系统。
  (3)信息资源:有五十多台服务器,其中大部分服务放置网络中心本地监管,并全部实现联网。
  (4)为保证校园网的正常运行,已采取了大量的安全防范措施:如已实现内外网物理隔离、已部署防火墙、城市热点、防病毒、入侵检测系统等。
  (5)专业人员队伍:网络中心拥有一批高水平的技术人员,负责校园网的建设与运作维护,同时有安全产品供货商的技术人员进行指导。
  2.流控设备选型
  网络中的数据是由一个个数据包组成,对每个数据包的分析、处理都要耗费一定的资源。部署在校园网出口处的流量控制设备作为内外网之间的惟一数据通道,如果数据吞吐量太小就会成为网络瓶颈。因此,为了保障整个网络的传输效率,在其他性能指标类似的基础上,应优先选择吞吐量大的产品,如拥有5G吞吐量的CiscoSCE2020等。
  3.建立网络流量的监控模型
  不需对校园网拓扑进行大幅更改,采用透明模式接入,只需将流控设备串联在核心交换机与防火墙之间,让其控管、监测整个网络的出口流量,就可以快速建立网络流量的监控模型。(如图1)
  图1部署了网络流量控制设备的网络拓扑
  4.提供流量控制服务
  通过部署专用流控设备,网络中心开始对校内P2P应用进行有效监控,提供的流量控制服务主要有以下几项:
  (1)网络流量流向分析:通过流量监控,能及时了解校园网内不同属性网络流量分布,预测流量变化趋势,找出网络瓶颈,为网络规划、优化调整提供基础依据;对应用、用户进行深入分析,可以准确掌握网络应用和用户上网行为,为设计实施更好的用户服务及产品提供了可靠的基础数据(如图2)。
  
  图2网络流量流向分析图
  (2)异常流量分析:当网络攻击发生时,从网络管理层面,对异常流量攻击实施有效监控和定位;能够及时响应,对异常流量和一些非法应用进行控制,保证网络中心IP数据网的正常运行。
  (3)网络应用监控:通过建立健全安全监测管理系统,对IP数据网的流量及网上的各种应用协议进行统计分析,结合日常网络维护操作,重点对异常流量进行分析和预警,实现在IP数据网络上的网络安全预警。
  (4)策略控制能力:能够实现基于IP地址、端口、业务、时间的带宽控制。支持的基于应用的带宽控制包括保证(最小带宽)、限制(最大带宽)、流量透传、丢弃、设置优先级(至少五个级别),确保主流网络应用的带宽得到优先分配。
  5.实施效果
  充分发挥专用网络流量控制设备功能,实现了校园网网络主要为学校办公教学服务的目标,归纳起来,该校实施P2P流量控制主要达到了以下目的:
  (1)核心业务系统所需的网络带宽有保障,保证基于校园网的学校办公教学工作能高效进行;
  (2)对非工作使用网络应用可根据需要是否设限;
  (3)实时监测内网流量、掌握网络资源使用情况,提供完整的工作日志,便于事后查询;
  (4)把握网络流量运行状况,应对突发事故;
  (5)优化带宽资源配置、降低网络费用;
  (6)可针对会话数高的应用(如P2P等)作限制,减少核心交换机或路由器、防火墙等网络设备的负载,减少网络掉线概率;
  (7)对校园网内网用户的上网行为进行有效地分析与控管。
  四、结束语
  通过校园网P2P流量控制,限定每个用户、相关P2P应用的带宽,首先,能有效解决网络流量分配不公,极少部分用户占用了大部分资源的问题。其次,也避免了用户因为机器中病毒引起的UDP洪水大流量冲击网关、防火墙等情况,保证网关和防火墙的安全。第三,流控预警机制可以让用户为无法预料的网络事件作出提前的反应。
  用户的需求与网络带宽的限制就目前而言是一场长久的战争,而专业的流控设备仅仅是解决这场战争一种捷径而不是全部。在控制流量的同时,也应考虑通过丰富校内的网络资源,例如搭建内网网络视频点播服务器,收集影音视频资料,通过引导让师生在校内进行下载,减少不必要外网下载引起的出口带宽资源浪费。在控制用户网络流量的同时也必须对用户的上网行为进行合理的引导,并制定相应制度加以规范,这样双方面配合才能实现双赢的结果。
  
  
  参考文献:
  [1]张文,赵子铭.P2P网络技术原理与C++开发案例[M].北京:人民邮电出版社,2008年:1-360.
  [2]吴伟光.PeertoPeer技术对版权法的挑战与对策[J].电子知识产权,2006(3):26-30.
  [3]侯自强.P2P回归互联网本性.通信产业报,2005年9月.

文章标题:校园网P2P流量控制方法及典型案例

转载请注明来自:http://www.sofabiao.com/fblw/dianxin/wangluo/6023.html

相关问题解答

SCI服务

搜论文知识网的海量职称论文范文仅供广大读者免费阅读使用! 冀ICP备15021333号-3