基于校園網的P2P技術應用與控制的研究

宋志

福建信息職業技術學院 福建 350003

0 前言

隨著數字校園，校園信息化等校園網絡服務的不斷增加和推進，以P2P技術為基礎的迅雷、BT、ppstream、emule等應用所占校園網流量比例越來越大，嚴重干擾了學校正常網絡應用的開展。本文在梳理P2P發展最新技術的基礎上，重點分析了P2P技術在校園網體現出的實際應用，特別闡述了因P2P技術給校園網發展帶來的不利因素以及造成的嚴重后果。本文提出端口控制、數據管理和專業流控等解決方式，可以根據校園網的結構、規模、安全等級級別、建設資金等，進行靈活的控制手段組合，有效的控制P2P在校園網的應用，保證了校園網正常應用的帶寬，提高了校園網的運行效率。

1 P2P概念

傳統以C/S結構的互聯網都是一個服務器對應若干客戶機模式，服務器成為網絡發展的瓶頸，P2P采用分布式結構，各節點可以直接交互協作，既可以充當客戶機，也可以充當服務器，從而實現“一對一”網絡。相對于傳統網絡，P2P擁有非中心化、可擴展性、隱私保護、負載均衡、高性價比等方面的特點。

按照P2P技術的發展過程，P2P結構可分為集中式目錄式結構、純P2P網絡結構、混合式P2P結構、發展中P2P結構等4種。集中式目錄式結構沿用了C/S架構思想，保留中央目錄服務器為節點提供資源搜索服務，該結構優點是容易實現網絡管理和控制，缺點是過于依賴服務器的存在，其典型應用代表為Napster；純P2P網絡結構最重要是引入分布式概念，優點是去除服務器中心化的問題，不足點是因節點采用廣播傳輸機制導致的帶寬消耗、網絡穩定性和安全性問題，其典型應用代表是Gnutella；混合式P2P結構是集中式目錄式結構和純P2P網絡結構的有機融合體，其典型應用代表是Kazaa。

2 P2P技術新發展

2.1 IPV6促進P2P發展

首先，IPV6將IP地址擴展到128位，為P2P網絡提供更多的節點數；其次，IPV6采用類似CIDR的編碼方式，簡化了節點通信的路由方式，加快了路由效率；再者，IPV6節點之間通信，減少因NAT產生的附加通信控制；最后，IPV6機制中加入的身份驗證、數據一致性、保密性結構，為P2P實現高效安全控制實現提供了技術基礎。

2.2 P2P安全技術新發展

P2P采用的分布式結構和廣播式機制，在安全方面發展未得到足夠重視：身份驗證、授權、加密解密、數字簽名、傳輸安全等，由此網絡中表現出的主要威脅有：P2P信息共享、路由攻擊、分隔攻擊、存取攻擊、過載攻擊、防火墻穿透問題、行為不一致、網絡病毒等，針對這些問題，以數字版權保護管理、IPSec、SSL、PKI、SET、DPI等為代表的各種安全技術已廣泛融入到P2P的通信過程。

2.3 云計算與P2P

云計算由于其高昂的建設成本，以及其潛在的安全隱患，使得其應用主要集中在高端市場，已成為當前云計算發展瓶頸所在。P2P技術也由于大量消耗網絡帶寬、盜版擴散和非法文件傳播等因素，其發展也受到較大的限制。P2P和云計算都基于分布式機制，其技術實現原理也有較多相似之處，所以通過兩者的結合，正好可以相互補充，促進各自的發展。P2P借助云時代大型企業提供的云計算基礎服務、平臺服務和快速發展的帶寬服務，可以補充其安全機制和帶寬不足的問題，拓展了P2P的生存空間。而云計算通過P2P的應用，可以減少云端對云平臺的絕對依賴性，有效的延伸了云服務的應用范圍，加速了其發展腳步。

2.4 移動DSN架構推進P2P發展

近年來，移動互聯網網絡數據流量已遠遠超過無線寬帶的增長速度，給移動網絡制造巨大威脅。隨著中國移動DSN2.0技術白皮書的發布，分布式P2P技術正式進入移動互聯網核心架構內容，充分發揮P2P資源共享優勢，以破解移動互聯網絡流量難題，加速三網融合的進程。

3 P2P技術在校園網的應用及存在問題

3.1 P2P技術在校園網的應用

P2P技術因其自由，平等互聯的特性，使其在資源共享、分布計算、即時通訊等應用領域得到廣泛應用。具體到校園網，其主要應用包含以下幾個方面。

3.1.1 文件資源共享

資源共享是P2P在校園網中應用最基礎的一種。傳統方式下，龐大的用戶連接數和帶寬需求給服務器造成了嚴重的負擔，影響共享效率。P2P技術不同于傳統共享方式，用戶獲取資源并不存在于服務器中而是存儲在用戶當中，用戶只需直接與其他對等用戶直接連接，獲取共享資源，既簡化了連接方式，也提高了數據傳輸效率。當前，主要典型應用是BT、電驢、迅雷等下載軟件。

3.1.2 流媒體服務

隨著學校數字信息化的建設腳步，精品課程、數字資源庫等視頻資源已成了校園網絡資源不可或缺的組成部分。傳統模式下，局限于存儲視頻資源的服務器本身性能，用戶訪問資源經常出現掉線、無法訪問等故障，嚴重影響其使用效率。在P2P技術應用到流媒體服務之后，因服務器產生的瓶頸自然消失，從而快速推進了流媒體的快速發展。另外，除了校園本身的資源之外，因特網上豐富的視頻資源也是校園師生重要的學習和生活來源。當前，主要典型應用是ppstream、pptv、迅雷看看等視頻軟件。

3.1.3 即時通信

即時通信是互聯網繼電子郵件、WWW服務之后被廣泛應用的一種服務。隨著使用即時通信用戶人群的不斷擴大，P2P技術被適時引入其中，即時通信內容上從最初的文字交互拓展到語音、圖像、視頻、數據等，應用平臺也從單純的互聯網應用演變成跨互聯網、手機、固定電話等多平臺。目前，應用最為廣泛的應用是：QQ、MSN、Skype等。

3.1.4 分布式計算

校園是計算機密集度很高的網絡單元，而且學生終端很多資源尤其是CPU都沒有被充分利用，造成了大量的資源浪費。通過P2P技術，可以整合各個終端的資源，進行統一調配，這樣就相當于制造了一臺超級計算機，從而可以實現繁雜的科學計算。最為典型的應用是美國的SETI@Home項目。

3.2 P2P技術在校園網應用中存在的問題

由于P2P技術本身的優勢，校園網中P2P應用非常廣泛。校園網在沒有對網絡數據流控進行任何調控的情況下，因P2P產生的非關鍵業務數據流量消耗了校園網大部分帶寬，從而關鍵業務運行得不到保證。同時，P2P應用也給校園網網絡安全帶來了新的安全隱患。

3.2.1 網絡帶寬過度消耗

網絡帶寬占用是P2P技術給校園網造成的最大困擾。學生大量使用的迅雷、BT、PPlive等軟件，迅速搶占了大部分網絡帶寬資源，大大影響校園網的其他應用，嚴重時直接導致網絡癱瘓。

3.2.2 網絡安全性不足

學生對知識的求知欲望是不可想象的，在學校，經常發現網絡故障是學生對學校網絡進行的有意或者無意攻擊行為，P2P技術本身存在的安全缺陷大大的加大了學校網絡被攻擊的可能性。同時，由于采用P2P技術的數據在傳輸過程中節點直接通信，病毒可以更加隱蔽的潛伏在正常數據中，從而病毒在網絡中的傳播更加迅速與容易，極大的放大了病毒對網絡的破壞力。

3.2.3 數據安全性低

當前，P2P應用主要偏向娛樂數據，數據的安全機制并沒有得到足夠的重視，數據在網絡傳輸過程中容易被竊取和篡改，數據的所有權也難以界定。同時，P2P技術涉及硬盤長時間被頻繁的調用，硬盤私密數據被非法調用的可能性也大大增加。

4 校園網P2P識別與管理

4.1 P2P的識別

要進行P2P流量的控制，首先必須能對P2P流量進行有效的識別。P2P檢測技術可分為兩大類別，一種是基于數據包檢測技術，包含端口類檢測技術和應用載荷檢測技術；另外一種則針對數據流進行分析，主要有基于行為特征和基于機器學習的應用，如表1。

表1 P2P的識別技術對比表

4.2 P2P流量管理

區別于運營商級別大小的網絡，各學校校園網規模差異較大，管理機制也不盡相同，所以不能一味部署專業設備進行控制。學校進行流量控制管理時，一般要結合幾方面因素進行綜合考量：網絡規模大小、技術人員技術水平、網絡管理可投入預算成本等，尋求最合適本校網絡實際環境的手段。可采用的主要技術手段包括以下幾種。

4.2.1 端口控制

根據P2P應用使用協議端口通信的特性，在校園網交換機、路由器和防火墻等網絡設備上，使用Acl和Qos等策略，對P2P應用進行控制。由于當前大部分P2P應用使用隨機端口，所以在實際中有效的策略是：通過專業監控軟件對校園網的流量進行觀察，區分網絡流量中的關鍵業務和非關鍵業務的端口使用范圍，然后對非關鍵業務端口進行控制。

通過此法，可在一定程度上控制P2P的流量搶占能力，同時它也存在一定的局限性。首先關鍵業務和非關鍵業務端口區分只能做到粗略的定義，準確度不高，在實際應用中可能對部分關鍵業務也進行了限制；另外P2P應用在非關鍵端口被控制之后，會隨機改變應用端口，甚至搶占關鍵業務的端口，從而逃離控制；再有一個不足之處就是這種端口限制都是對P2P應用進行禁止使用的限制，無法限制P2P應用在可控的流量下運行。

4.2.2 用戶數據控制

在校園的網絡出口設備中，都會附加一些流控的功能單元，若用戶能合理啟用，網絡狀況也能得到極大的改善。通過防火墻、應用網關、認證計費網關等設備附帶的流量控制功能，可以對網絡用戶的即時帶寬、會話并發數、上網時間段和數據總流量等相關參數進行閥值設定，抑制P2P流量在校園網中泛濫使用。該種方式屬于消極控制模式，通過限制用戶的總數據流量，逼迫用戶為了保證自身正常業務的應用而自覺減少P2P流量的應用，無法主動區分P2P應用。

4.2.3 專業流控系統控制

以上兩種控制方式都采用的是被動控制模式，主要都是從網絡其他方面進行輔助控制，而沒有直接對具體P2P應用進行有效識別與管理。對于網絡規模較小，P2P應用相對較少的網絡，以上兩種控制能起到不小的效果，而對于因P2P應用產生堵塞的網絡，其控制效果不佳。為此，市場上推出了專業流控產品，比如Allot、Cisco和深信服等，采用DPI(Deep Packet Inspection)和DFI(Deep Flow Inspection)等智能技術，精確識別各類P2P應用，對于P2P流量控制與管理效果良好。

4.3 實施效果

下面以筆者所在福建信息職業技術學院(以下簡稱“學院”)為例談談P2P技術在校園網中應用與控制的實施效果。

4.3.1 網絡測試環境

福建信息職業技術學院出口為電信100M和教育網10M，同時在線機器數達1500臺，二級網絡之間采用OSPF進行互聯。在沒有進行任何流量控制手段時，學院網絡基本處于嚴重堵塞狀態，正常業務根本得不到任何保障。由此，借用專業流控設備進行流量分析，發現造成網絡堵塞的主要應用就是P2P。

4.3.2 端口控制結合用戶數據控制方式

在沒有購買專門的流控設備之前，主要結合端口控制和用戶數據控制手段，對P2P流量進行限制。首先在防火墻附帶的流量控制功能上啟用：

(1) 每個IP最大并發連接數《250個；

(2) 實驗室機房的IP段總流量最多為總帶寬的30%；在安騰計費系統中，對用戶進行流量控制限制：每個教師賬號下行《1MBps；學生賬號下行《250kbps；

(3) 在網絡堵塞嚴重時：核心交換上啟用QoS，將TCP和UDP的2 000～65 535端口屏蔽通信。

通過設置，網絡基本恢復正常應用，網絡出現堵塞的頻率明顯降低，從圖1可看出，P2P與P2P流媒體流量合計占總流量的55.9%。但是校園網仍會出現網絡延時過長，網絡丟包等現象，有時因P2P流量過大，正常業務例如WEB頁面訪問都偏慢。這樣的網絡，對于需要網絡質量保障的業務就無法滿足，比如學院與臺灣高校的遠程視頻授課、校外專家外網實時對學院精品課程網上評審等。

圖1 端口控制及用戶數據控制后上網應用流量圖

4.3.3 專業流量控制網絡狀態方式

為了提高對網絡流量進行更精細度的控制，學院部署了深信服的流控設備，對P2P應用從時間和帶寬使用上進行管理和控制，控制效果良好。圖2顯示了設備策略后的網絡流量分布，P2P與P2P流媒體流量合計36.7%，屬于比較合理的網絡帶寬占用比例。不足之處在于，由于本身設備需要串接在網絡出口中，無疑又給網絡增加一個單點故障點；而且其性能也可能成為校園網絡的一個新瓶頸；另外，該種流控設備對于新興出現的P2P應用的識別能力不夠成熟，還有待加強。

圖2 專業設備控制后上網應用流量圖

5 總結

本文側重說明了P2P技術在校園網中的應用，以及給校園網造成的困惑和問題，然后針對問題，結合校園網特點，為各類學校提出了可采用端口控制結合用戶數據控制方式和專業流量控制網絡狀態方式的有效解決方法。新興發展的P2P應用識別與控制技術是未來需要著力研究的重點。另外隨著云計算和物聯網的發展，如何有效的對智能終端P2P應用進行有效管控也是一大挑戰。

[1] 劉浩.P2P網絡的若干關鍵問題研究[D].華南理工大學博士學位論文.廣州:華南理工大學.2010.

[2] 蔣林濤. P2P技術的分析與研究[J].電信網技術.2007.

[3] 周亞建,楊義先.與P2P技術相關的信息安全問題[J].電信工程技術與標準化.2006.

[4] 孫健昆.云計算時代的P2P技術.互聯網周刊.2011.

[5] 劉刈.試論P2P技術在校園網網絡的應用及流量控制.實驗室科學[J].2011.

[6] SETI@HOME[EB/OL]. http://www.equn.com/seticn/. 2006.

[7] 田成.基于校園P2P網絡技術應用及安全機制分析[J].科技向導.2011.

[8] 彭建芬.P2P流量識別關鍵技術研究[D].北京郵電大學博士學位論文.北京郵電大學.2011.