宋志

福建信息職業(yè)技術(shù)學(xué)院 福建 350003

0 前言

隨著數(shù)字校園，校園信息化等校園網(wǎng)絡(luò)服務(wù)的不斷增加和推進(jìn)，以P2P技術(shù)為基礎(chǔ)的迅雷、BT、ppstream、emule等應(yīng)用所占校園網(wǎng)流量比例越來越大，嚴(yán)重干擾了學(xué)校正常網(wǎng)絡(luò)應(yīng)用的開展。本文在梳理P2P發(fā)展最新技術(shù)的基礎(chǔ)上，重點(diǎn)分析了P2P技術(shù)在校園網(wǎng)體現(xiàn)出的實(shí)際應(yīng)用，特別闡述了因P2P技術(shù)給校園網(wǎng)發(fā)展帶來的不利因素以及造成的嚴(yán)重后果。本文提出端口控制、數(shù)據(jù)管理和專業(yè)流控等解決方式，可以根據(jù)校園網(wǎng)的結(jié)構(gòu)、規(guī)模、安全等級級別、建設(shè)資金等，進(jìn)行靈活的控制手段組合，有效的控制P2P在校園網(wǎng)的應(yīng)用，保證了校園網(wǎng)正常應(yīng)用的帶寬，提高了校園網(wǎng)的運(yùn)行效率。

1 P2P概念

傳統(tǒng)以C/S結(jié)構(gòu)的互聯(lián)網(wǎng)都是一個服務(wù)器對應(yīng)若干客戶機(jī)模式，服務(wù)器成為網(wǎng)絡(luò)發(fā)展的瓶頸，P2P采用分布式結(jié)構(gòu)，各節(jié)點(diǎn)可以直接交互協(xié)作，既可以充當(dāng)客戶機(jī)，也可以充當(dāng)服務(wù)器，從而實(shí)現(xiàn)“一對一”網(wǎng)絡(luò)。相對于傳統(tǒng)網(wǎng)絡(luò)，P2P擁有非中心化、可擴(kuò)展性、隱私保護(hù)、負(fù)載均衡、高性價比等方面的特點(diǎn)。

按照P2P技術(shù)的發(fā)展過程，P2P結(jié)構(gòu)可分為集中式目錄式結(jié)構(gòu)、純P2P網(wǎng)絡(luò)結(jié)構(gòu)、混合式P2P結(jié)構(gòu)、發(fā)展中P2P結(jié)構(gòu)等4種。集中式目錄式結(jié)構(gòu)沿用了C/S架構(gòu)思想，保留中央目錄服務(wù)器為節(jié)點(diǎn)提供資源搜索服務(wù)，該結(jié)構(gòu)優(yōu)點(diǎn)是容易實(shí)現(xiàn)網(wǎng)絡(luò)管理和控制，缺點(diǎn)是過于依賴服務(wù)器的存在，其典型應(yīng)用代表為Napster；純P2P網(wǎng)絡(luò)結(jié)構(gòu)最重要是引入分布式概念，優(yōu)點(diǎn)是去除服務(wù)器中心化的問題，不足點(diǎn)是因節(jié)點(diǎn)采用廣播傳輸機(jī)制導(dǎo)致的帶寬消耗、網(wǎng)絡(luò)穩(wěn)定性和安全性問題，其典型應(yīng)用代表是Gnutella；混合式P2P結(jié)構(gòu)是集中式目錄式結(jié)構(gòu)和純P2P網(wǎng)絡(luò)結(jié)構(gòu)的有機(jī)融合體，其典型應(yīng)用代表是Kazaa。

2 P2P技術(shù)新發(fā)展

2.1 IPV6促進(jìn)P2P發(fā)展

首先，IPV6將IP地址擴(kuò)展到128位，為P2P網(wǎng)絡(luò)提供更多的節(jié)點(diǎn)數(shù)；其次，IPV6采用類似CIDR的編碼方式，簡化了節(jié)點(diǎn)通信的路由方式，加快了路由效率；再者，IPV6節(jié)點(diǎn)之間通信，減少因NAT產(chǎn)生的附加通信控制；最后，IPV6機(jī)制中加入的身份驗(yàn)證、數(shù)據(jù)一致性、保密性結(jié)構(gòu)，為P2P實(shí)現(xiàn)高效安全控制實(shí)現(xiàn)提供了技術(shù)基礎(chǔ)。

2.2 P2P安全技術(shù)新發(fā)展

P2P采用的分布式結(jié)構(gòu)和廣播式機(jī)制，在安全方面發(fā)展未得到足夠重視：身份驗(yàn)證、授權(quán)、加密解密、數(shù)字簽名、傳輸安全等，由此網(wǎng)絡(luò)中表現(xiàn)出的主要威脅有：P2P信息共享、路由攻擊、分隔攻擊、存取攻擊、過載攻擊、防火墻穿透問題、行為不一致、網(wǎng)絡(luò)病毒等，針對這些問題，以數(shù)字版權(quán)保護(hù)管理、IPSec、SSL、PKI、SET、DPI等為代表的各種安全技術(shù)已廣泛融入到P2P的通信過程。

2.3 云計算與P2P

云計算由于其高昂的建設(shè)成本，以及其潛在的安全隱患，使得其應(yīng)用主要集中在高端市場，已成為當(dāng)前云計算發(fā)展瓶頸所在。P2P技術(shù)也由于大量消耗網(wǎng)絡(luò)帶寬、盜版擴(kuò)散和非法文件傳播等因素，其發(fā)展也受到較大的限制。P2P和云計算都基于分布式機(jī)制，其技術(shù)實(shí)現(xiàn)原理也有較多相似之處，所以通過兩者的結(jié)合，正好可以相互補(bǔ)充，促進(jìn)各自的發(fā)展。P2P借助云時代大型企業(yè)提供的云計算基礎(chǔ)服務(wù)、平臺服務(wù)和快速發(fā)展的帶寬服務(wù)，可以補(bǔ)充其安全機(jī)制和帶寬不足的問題，拓展了P2P的生存空間。而云計算通過P2P的應(yīng)用，可以減少云端對云平臺的絕對依賴性，有效的延伸了云服務(wù)的應(yīng)用范圍，加速了其發(fā)展腳步。

2.4 移動DSN架構(gòu)推進(jìn)P2P發(fā)展

近年來，移動互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)流量已遠(yuǎn)遠(yuǎn)超過無線寬帶的增長速度，給移動網(wǎng)絡(luò)制造巨大威脅。隨著中國移動DSN2.0技術(shù)白皮書的發(fā)布，分布式P2P技術(shù)正式進(jìn)入移動互聯(lián)網(wǎng)核心架構(gòu)內(nèi)容，充分發(fā)揮P2P資源共享優(yōu)勢，以破解移動互聯(lián)網(wǎng)絡(luò)流量難題，加速三網(wǎng)融合的進(jìn)程。

3 P2P技術(shù)在校園網(wǎng)的應(yīng)用及存在問題

3.1 P2P技術(shù)在校園網(wǎng)的應(yīng)用

P2P技術(shù)因其自由，平等互聯(lián)的特性，使其在資源共享、分布計算、即時通訊等應(yīng)用領(lǐng)域得到廣泛應(yīng)用。具體到校園網(wǎng)，其主要應(yīng)用包含以下幾個方面。

3.1.1 文件資源共享

資源共享是P2P在校園網(wǎng)中應(yīng)用最基礎(chǔ)的一種。傳統(tǒng)方式下，龐大的用戶連接數(shù)和帶寬需求給服務(wù)器造成了嚴(yán)重的負(fù)擔(dān)，影響共享效率。P2P技術(shù)不同于傳統(tǒng)共享方式，用戶獲取資源并不存在于服務(wù)器中而是存儲在用戶當(dāng)中，用戶只需直接與其他對等用戶直接連接，獲取共享資源，既簡化了連接方式，也提高了數(shù)據(jù)傳輸效率。當(dāng)前，主要典型應(yīng)用是BT、電驢、迅雷等下載軟件。

3.1.2 流媒體服務(wù)

隨著學(xué)校數(shù)字信息化的建設(shè)腳步，精品課程、數(shù)字資源庫等視頻資源已成了校園網(wǎng)絡(luò)資源不可或缺的組成部分。傳統(tǒng)模式下，局限于存儲視頻資源的服務(wù)器本身性能，用戶訪問資源經(jīng)常出現(xiàn)掉線、無法訪問等故障，嚴(yán)重影響其使用效率。在P2P技術(shù)應(yīng)用到流媒體服務(wù)之后，因服務(wù)器產(chǎn)生的瓶頸自然消失，從而快速推進(jìn)了流媒體的快速發(fā)展。另外，除了校園本身的資源之外，因特網(wǎng)上豐富的視頻資源也是校園師生重要的學(xué)習(xí)和生活來源。當(dāng)前，主要典型應(yīng)用是ppstream、pptv、迅雷看看等視頻軟件。

3.1.3 即時通信

即時通信是互聯(lián)網(wǎng)繼電子郵件、WWW服務(wù)之后被廣泛應(yīng)用的一種服務(wù)。隨著使用即時通信用戶人群的不斷擴(kuò)大，P2P技術(shù)被適時引入其中，即時通信內(nèi)容上從最初的文字交互拓展到語音、圖像、視頻、數(shù)據(jù)等，應(yīng)用平臺也從單純的互聯(lián)網(wǎng)應(yīng)用演變成跨互聯(lián)網(wǎng)、手機(jī)、固定電話等多平臺。目前，應(yīng)用最為廣泛的應(yīng)用是：QQ、MSN、Skype等。

3.1.4 分布式計算

校園是計算機(jī)密集度很高的網(wǎng)絡(luò)單元，而且學(xué)生終端很多資源尤其是CPU都沒有被充分利用，造成了大量的資源浪費(fèi)。通過P2P技術(shù)，可以整合各個終端的資源，進(jìn)行統(tǒng)一調(diào)配，這樣就相當(dāng)于制造了一臺超級計算機(jī)，從而可以實(shí)現(xiàn)繁雜的科學(xué)計算。最為典型的應(yīng)用是美國的SETI@Home項(xiàng)目。

3.2 P2P技術(shù)在校園網(wǎng)應(yīng)用中存在的問題

由于P2P技術(shù)本身的優(yōu)勢，校園網(wǎng)中P2P應(yīng)用非常廣泛。校園網(wǎng)在沒有對網(wǎng)絡(luò)數(shù)據(jù)流控進(jìn)行任何調(diào)控的情況下，因P2P產(chǎn)生的非關(guān)鍵業(yè)務(wù)數(shù)據(jù)流量消耗了校園網(wǎng)大部分帶寬，從而關(guān)鍵業(yè)務(wù)運(yùn)行得不到保證。同時，P2P應(yīng)用也給校園網(wǎng)網(wǎng)絡(luò)安全帶來了新的安全隱患。

3.2.1 網(wǎng)絡(luò)帶寬過度消耗

網(wǎng)絡(luò)帶寬占用是P2P技術(shù)給校園網(wǎng)造成的最大困擾。學(xué)生大量使用的迅雷、BT、PPlive等軟件，迅速搶占了大部分網(wǎng)絡(luò)帶寬資源，大大影響校園網(wǎng)的其他應(yīng)用，嚴(yán)重時直接導(dǎo)致網(wǎng)絡(luò)癱瘓。

3.2.2 網(wǎng)絡(luò)安全性不足

學(xué)生對知識的求知欲望是不可想象的，在學(xué)校，經(jīng)常發(fā)現(xiàn)網(wǎng)絡(luò)故障是學(xué)生對學(xué)校網(wǎng)絡(luò)進(jìn)行的有意或者無意攻擊行為，P2P技術(shù)本身存在的安全缺陷大大的加大了學(xué)校網(wǎng)絡(luò)被攻擊的可能性。同時，由于采用P2P技術(shù)的數(shù)據(jù)在傳輸過程中節(jié)點(diǎn)直接通信，病毒可以更加隱蔽的潛伏在正常數(shù)據(jù)中，從而病毒在網(wǎng)絡(luò)中的傳播更加迅速與容易，極大的放大了病毒對網(wǎng)絡(luò)的破壞力。

3.2.3 數(shù)據(jù)安全性低

當(dāng)前，P2P應(yīng)用主要偏向娛樂數(shù)據(jù)，數(shù)據(jù)的安全機(jī)制并沒有得到足夠的重視，數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中容易被竊取和篡改，數(shù)據(jù)的所有權(quán)也難以界定。同時，P2P技術(shù)涉及硬盤長時間被頻繁的調(diào)用，硬盤私密數(shù)據(jù)被非法調(diào)用的可能性也大大增加。

4 校園網(wǎng)P2P識別與管理

4.1 P2P的識別

要進(jìn)行P2P流量的控制，首先必須能對P2P流量進(jìn)行有效的識別。P2P檢測技術(shù)可分為兩大類別，一種是基于數(shù)據(jù)包檢測技術(shù)，包含端口類檢測技術(shù)和應(yīng)用載荷檢測技術(shù)；另外一種則針對數(shù)據(jù)流進(jìn)行分析，主要有基于行為特征和基于機(jī)器學(xué)習(xí)的應(yīng)用，如表1。

表1 P2P的識別技術(shù)對比表

4.2 P2P流量管理

區(qū)別于運(yùn)營商級別大小的網(wǎng)絡(luò)，各學(xué)校校園網(wǎng)規(guī)模差異較大，管理機(jī)制也不盡相同，所以不能一味部署專業(yè)設(shè)備進(jìn)行控制。學(xué)校進(jìn)行流量控制管理時，一般要結(jié)合幾方面因素進(jìn)行綜合考量：網(wǎng)絡(luò)規(guī)模大小、技術(shù)人員技術(shù)水平、網(wǎng)絡(luò)管理可投入預(yù)算成本等，尋求最合適本校網(wǎng)絡(luò)實(shí)際環(huán)境的手段。可采用的主要技術(shù)手段包括以下幾種。

4.2.1 端口控制

根據(jù)P2P應(yīng)用使用協(xié)議端口通信的特性，在校園網(wǎng)交換機(jī)、路由器和防火墻等網(wǎng)絡(luò)設(shè)備上，使用Acl和Qos等策略，對P2P應(yīng)用進(jìn)行控制。由于當(dāng)前大部分P2P應(yīng)用使用隨機(jī)端口，所以在實(shí)際中有效的策略是：通過專業(yè)監(jiān)控軟件對校園網(wǎng)的流量進(jìn)行觀察，區(qū)分網(wǎng)絡(luò)流量中的關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)的端口使用范圍，然后對非關(guān)鍵業(yè)務(wù)端口進(jìn)行控制。

通過此法，可在一定程度上控制P2P的流量搶占能力，同時它也存在一定的局限性。首先關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)端口區(qū)分只能做到粗略的定義，準(zhǔn)確度不高，在實(shí)際應(yīng)用中可能對部分關(guān)鍵業(yè)務(wù)也進(jìn)行了限制；另外P2P應(yīng)用在非關(guān)鍵端口被控制之后，會隨機(jī)改變應(yīng)用端口，甚至搶占關(guān)鍵業(yè)務(wù)的端口，從而逃離控制；再有一個不足之處就是這種端口限制都是對P2P應(yīng)用進(jìn)行禁止使用的限制，無法限制P2P應(yīng)用在可控的流量下運(yùn)行。

4.2.2 用戶數(shù)據(jù)控制

在校園的網(wǎng)絡(luò)出口設(shè)備中，都會附加一些流控的功能單元，若用戶能合理啟用，網(wǎng)絡(luò)狀況也能得到極大的改善。通過防火墻、應(yīng)用網(wǎng)關(guān)、認(rèn)證計費(fèi)網(wǎng)關(guān)等設(shè)備附帶的流量控制功能，可以對網(wǎng)絡(luò)用戶的即時帶寬、會話并發(fā)數(shù)、上網(wǎng)時間段和數(shù)據(jù)總流量等相關(guān)參數(shù)進(jìn)行閥值設(shè)定，抑制P2P流量在校園網(wǎng)中泛濫使用。該種方式屬于消極控制模式，通過限制用戶的總數(shù)據(jù)流量，逼迫用戶為了保證自身正常業(yè)務(wù)的應(yīng)用而自覺減少P2P流量的應(yīng)用，無法主動區(qū)分P2P應(yīng)用。

4.2.3 專業(yè)流控系統(tǒng)控制

以上兩種控制方式都采用的是被動控制模式，主要都是從網(wǎng)絡(luò)其他方面進(jìn)行輔助控制，而沒有直接對具體P2P應(yīng)用進(jìn)行有效識別與管理。對于網(wǎng)絡(luò)規(guī)模較小，P2P應(yīng)用相對較少的網(wǎng)絡(luò)，以上兩種控制能起到不小的效果，而對于因P2P應(yīng)用產(chǎn)生堵塞的網(wǎng)絡(luò)，其控制效果不佳。為此，市場上推出了專業(yè)流控產(chǎn)品，比如Allot、Cisco和深信服等，采用DPI(Deep Packet Inspection)和DFI(Deep Flow Inspection)等智能技術(shù)，精確識別各類P2P應(yīng)用，對于P2P流量控制與管理效果良好。

4.3 實(shí)施效果

下面以筆者所在福建信息職業(yè)技術(shù)學(xué)院(以下簡稱“學(xué)院”)為例談?wù)凱2P技術(shù)在校園網(wǎng)中應(yīng)用與控制的實(shí)施效果。

4.3.1 網(wǎng)絡(luò)測試環(huán)境

福建信息職業(yè)技術(shù)學(xué)院出口為電信100M和教育網(wǎng)10M，同時在線機(jī)器數(shù)達(dá)1500臺，二級網(wǎng)絡(luò)之間采用OSPF進(jìn)行互聯(lián)。在沒有進(jìn)行任何流量控制手段時，學(xué)院網(wǎng)絡(luò)基本處于嚴(yán)重堵塞狀態(tài)，正常業(yè)務(wù)根本得不到任何保障。由此，借用專業(yè)流控設(shè)備進(jìn)行流量分析，發(fā)現(xiàn)造成網(wǎng)絡(luò)堵塞的主要應(yīng)用就是P2P。

4.3.2 端口控制結(jié)合用戶數(shù)據(jù)控制方式

在沒有購買專門的流控設(shè)備之前，主要結(jié)合端口控制和用戶數(shù)據(jù)控制手段，對P2P流量進(jìn)行限制。首先在防火墻附帶的流量控制功能上啟用：

(1) 每個IP最大并發(fā)連接數(shù)《250個；

(2) 實(shí)驗(yàn)室機(jī)房的IP段總流量最多為總帶寬的30%；在安騰計費(fèi)系統(tǒng)中，對用戶進(jìn)行流量控制限制：每個教師賬號下行《1MBps；學(xué)生賬號下行《250kbps；

(3) 在網(wǎng)絡(luò)堵塞嚴(yán)重時：核心交換上啟用QoS，將TCP和UDP的2 000～65 535端口屏蔽通信。

通過設(shè)置，網(wǎng)絡(luò)基本恢復(fù)正常應(yīng)用，網(wǎng)絡(luò)出現(xiàn)堵塞的頻率明顯降低，從圖1可看出，P2P與P2P流媒體流量合計占總流量的55.9%。但是校園網(wǎng)仍會出現(xiàn)網(wǎng)絡(luò)延時過長，網(wǎng)絡(luò)丟包等現(xiàn)象，有時因P2P流量過大，正常業(yè)務(wù)例如WEB頁面訪問都偏慢。這樣的網(wǎng)絡(luò)，對于需要網(wǎng)絡(luò)質(zhì)量保障的業(yè)務(wù)就無法滿足，比如學(xué)院與臺灣高校的遠(yuǎn)程視頻授課、校外專家外網(wǎng)實(shí)時對學(xué)院精品課程網(wǎng)上評審等。

圖1 端口控制及用戶數(shù)據(jù)控制后上網(wǎng)應(yīng)用流量圖

4.3.3 專業(yè)流量控制網(wǎng)絡(luò)狀態(tài)方式

為了提高對網(wǎng)絡(luò)流量進(jìn)行更精細(xì)度的控制，學(xué)院部署了深信服的流控設(shè)備，對P2P應(yīng)用從時間和帶寬使用上進(jìn)行管理和控制，控制效果良好。圖2顯示了設(shè)備策略后的網(wǎng)絡(luò)流量分布，P2P與P2P流媒體流量合計36.7%，屬于比較合理的網(wǎng)絡(luò)帶寬占用比例。不足之處在于，由于本身設(shè)備需要串接在網(wǎng)絡(luò)出口中，無疑又給網(wǎng)絡(luò)增加一個單點(diǎn)故障點(diǎn)；而且其性能也可能成為校園網(wǎng)絡(luò)的一個新瓶頸；另外，該種流控設(shè)備對于新興出現(xiàn)的P2P應(yīng)用的識別能力不夠成熟，還有待加強(qiáng)。

圖2 專業(yè)設(shè)備控制后上網(wǎng)應(yīng)用流量圖

5 總結(jié)

本文側(cè)重說明了P2P技術(shù)在校園網(wǎng)中的應(yīng)用，以及給校園網(wǎng)造成的困惑和問題，然后針對問題，結(jié)合校園網(wǎng)特點(diǎn)，為各類學(xué)校提出了可采用端口控制結(jié)合用戶數(shù)據(jù)控制方式和專業(yè)流量控制網(wǎng)絡(luò)狀態(tài)方式的有效解決方法。新興發(fā)展的P2P應(yīng)用識別與控制技術(shù)是未來需要著力研究的重點(diǎn)。另外隨著云計算和物聯(lián)網(wǎng)的發(fā)展，如何有效的對智能終端P2P應(yīng)用進(jìn)行有效管控也是一大挑戰(zhàn)。

[1] 劉浩.P2P網(wǎng)絡(luò)的若干關(guān)鍵問題研究[D].華南理工大學(xué)博士學(xué)位論文.廣州:華南理工大學(xué).2010.

[2] 蔣林濤. P2P技術(shù)的分析與研究[J].電信網(wǎng)技術(shù).2007.

[3] 周亞建,楊義先.與P2P技術(shù)相關(guān)的信息安全問題[J].電信工程技術(shù)與標(biāo)準(zhǔn)化.2006.

[4] 孫健昆.云計算時代的P2P技術(shù).互聯(lián)網(wǎng)周刊.2011.

[5] 劉刈.試論P(yáng)2P技術(shù)在校園網(wǎng)網(wǎng)絡(luò)的應(yīng)用及流量控制.實(shí)驗(yàn)室科學(xué)[J].2011.

[6] SETI@HOME[EB/OL]. http://www.equn.com/seticn/. 2006.

[7] 田成.基于校園P2P網(wǎng)絡(luò)技術(shù)應(yīng)用及安全機(jī)制分析[J].科技向?qū)?2011.

[8] 彭建芬.P2P流量識別關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)博士學(xué)位論文.北京郵電大學(xué).2011.