陈 栋

（连云港广播电视大学，江苏 连云港 222006）

P2P（Peer to Peer）对等网络技术是在 C/S（客户机/服务器）、B/S（浏览器/服务器）模式之后兴起的一项新兴的网络资源共享技术.通过P2P技术构建的网络不再依赖专用的服务器，而是通过将整个网络中的每台计算机作为资源的共享者，提供彼此信息的共享和交换.P2P技术通过依托网络中众多参与者的存储资源和网络带宽，而不需要集中于一台或几台服务器上.因此，P2P技术的健壮性和负载性能大大增强，越来越多的互联网应用软件趋向于使用P2P技术.P2P技术以其独特的优势随着互联网的发展而迅速发展，P2P技术广泛应用于文件下载、视频直播、VOIP等互联网应用中.在校园网中，大量的网络带宽被P2P流量占用，网络拥堵现象已经屡见不鲜，严重时可造成网络响应超时，无法正常打开网页浏览，极大影响正常的网络办公和教学秩序.

1 校园网P2P流量管理特点

1.1 P2P应用的多样化

除了常见的迅雷、电驴、比特精灵等下载软件之外，越来越多的Web应用软件也使用了P2P技术.比如，由各大视频网站开发的网络视频软件、由各大网络游戏商开发的在线网络游戏以及一些安全软件和杀毒软件等也纷纷采用了P2P技术.这些软件在运行时不仅极大占用了下行带宽，而且还利用P2P技术的特点占据着上行带宽，尽最大能力的榨取着校园网的网络资源.

1.2 P2P连接的多重性

P2P技术为了获取较高的数据传输率，通常会建立多条双向的TCP连接用于提高网络利用率和吞吐量.由于网络资源数对于P2P的下载速率有着极大的影响，所以P2P软件会建立尽可能多的TCP连接，当连接数剧烈增多时，对校园网的核心交换机和路由器的性能有着非常强大的侵略性影响.

1.3 P2P检测技术的复杂性

P2P软件在近些年经历着快速发展的过程，由低级到高级，由简单到复杂的转变.早期的P2P软件通常使用固定端口和协议，比较容易被检测和管理.如今的P2P软件已采用动态随机端口，甚至采用了加密技术来逃避识别和检测，给网络管理人员的管理带来很大困难.

2 SANGFOR上网行为管理系统

SANGFOR上网行为管理系统是由我国依托自主产权技术开发的基于对网络数据流分析和深度内容检测，针对网络流量进行全面分析和管理的一种网络管理设备.SANGFOR具有强大的流量控制功能，可以精准的识别各种P2P应用，最大可以处理1Gbps并发用户的实际流量，实现了基于应用层流量管理和带宽分配.

3 在校园网中部署上网行为管理系统

SANGFOR上网行为管理系统可以以网桥模式、旁路模式、路由模式三种方式部署在网络中.网桥模式不需要改变现存网络结构，以平滑方式架设到网络中，可以实现除NAT之外的所有功能；旁路模式需要连接在内网核心交换机的镜像端口上，只对整个网络实施旁路式的监控审计功能，许多其他功能无法实现；路由模式需要将设备充当路由器使用，可以实现所有功能，对网络结构改变较大.考虑到在保护原有网络投资以及对网络变动影响最小的前提下，选择将SANGFOR上网行为管理系统以网桥模式接入网络，是一种比较好的方案.部署结构如下图所示：

图1 SANGFOR上网行为管理系统部署拓扑图

4 上网行为管理系统的配置

4.1 SANGFOR上网行为管理系统的端口配置

以SG-4300为例，以网桥模式接入时，需要至少用到三个端口：eth0、eth1、eth2，分别对应着内网端口、管理端口、外网端口，内网端口eth0接入核心交换机、外网端口eth2接入防火墙、管理端口接入控制台计算机即可.另外，如果以Web方式登录管理界面，还需要将管理端口配置上合适的IP地址（默认：10.252.252.252/32），这样可以通过在地址栏输入HTTPS://10.252.252.252来登录管理界面.

4.2 SANGFOR上网行为管理系统的流量管理策略配置

4.2.1 对象定义

在“对象定义”的“IP组”中添加内网所有网段的IP组/用户，并在时间计划组中，添加“正常上班时间”段.如图2、图3所示：

图2 IP组设置

图3 时间组计划设置

4.2.2 带宽分配

在“流量管理”的“通道配置”中，第一步，添加“基础应用保障”，应对 HTTP、FTP、ICMP、DNS、SSL、IM、邮件等基础应用协议提供带宽保证，设置优先级为“中”、最大上下行带宽100%、保证带宽10%、通道使用范围选择“正常上班时间”（如图4所示）.第二步，添加“P2P流量限制”，对 P2P、P2P流媒体、下载工具、网络流媒体、电影等预置应用做出限制，设置优先级为“高”、限制通道最大上下行带宽0%、通道使用范围选择“正常上班时间”（如图5所示）.第三步，添加“教学楼总带宽限制”，对教学楼IP组进行最大30%上下行带宽限制，优先级为“中”、启用限制单IP最大带宽并限制上下行带宽各为200KB/s，通道使用范围选择“正常上班时间”，选中“当线路空闲时，允许突破限制”的复选框，这样可以保证带宽得到充分利用（如图6所示）.最后，仿照第三步，依次添加校园网各个网段的流量限制策略.

图4 基础应用保障

图5 P2P流量限制

图6 各网段总带宽限制（教学楼）

5 上网行为管理系统效果分析

5.1 策略执行之前流量分析

通过系统截图（图7、图8）如下,在没有启用流量管理系统之前的流速趋势图和流量排名图.

图7 策略执行前应用流速趋势

图8 策略执行前应用流量排名

应用流速分析：从上午8点上班开始到10点这个区间段，整个应用流速情况是访问网站的流速最大（图7中蓝色部分），其次是P2P行为的流速（图7中绿色部分）.

应用流量排名分析：在上午9点50分时刻截取的应用流量排名图中，P2P行为有高达56.7%的占用率，占用了校园网超过一半的带宽，其次是多线程下载和网页浏览行为各有18.1%和16.5%的占用率.

校园网带宽使用情况：校园网带宽使用已达上限，网络中高峰时段（9点20分）出现严重拥堵的情况，无法正常的打开网站，网页浏览极为缓慢.

5.2 策略执行之后的流量分析

通过系统截图（图9、图10）如下，在次日同时段启用流量管理系统之前的流速趋势图和流量排名图.

图9 策略执行后应用流速趋势

图10 策略执行后应用流量排名

应用流速分析：为了方便对比分析，选取从启用流量管理系统之后后的次日上午8点上班开始到10点这个区间段，整个应用流速情况仍是访问网站的流速最大（图9中蓝色部分），而P2P行为的流速几乎趋近于零（图9中P2P应用流速在该时段已经小到无法显示）.

应用流量排名分析：在次日上午10点整时刻截取的应用流量排名图中，网站浏览行为有70.9%的带宽占用率，占用了校园网超过一半的带宽，其次是多线程下载行为有着17.9%的带宽占用率.

校园网带宽使用情况：在执行策略之后，校园网带宽明显的富余，网络中无拥堵的情况出现，正常的网页浏览非常顺利，而P2P下载和视频功能几乎无法使用，达到了限制P2P流量的预期目的.

6 结语

使用上网行为管理系统的主要目的是对师生的网络行为进行规范的一种手段.借助上网行为管理系统限制非教学流量，可以更有效的提高校园网带宽的利用率，也对校园网用户的网络行为起到了引导作用，一方面既保护了学校在网络带宽方面的投资，另一方面也提高了网络办公和网上教学的效率.另外，在限制P2P应用的同时，也必须对正常的网络基础应用实施带宽保障.由于P2P技术的快速发展，P2P相关协议也越来越隐蔽，其流量特点越来越接近正常的HTTP协议，为了快速有效的识别和管控P2P流量，必须定期升级SANGFOR上网行为管理系统的应用识别库.

〔1〕元业云.基于Skype P2P混合模式网络的流量控制技术的研究[J].信息网络安全，2012（11）.

〔2〕杨林.P2P流实时识别技术研究[J].计算机科学，2012（2）.

〔3〕李亚.浅谈校园网P2P流量检测与控制[J].吉林省教育学院学报(中旬)，2012（11）.

〔4〕王春华.P2P 流量适度的控与放[J].科技传播，2012（16）.

〔5〕宋志.基于校园网的P2P技术应用与控制的研究[J].网络安全技术与应用，2012（8）.

〔6〕李元.P2P 流量识别技术研究[J].信息通信，2013（9）.

〔7〕潘呈昀.探索P2P网络技术发展[J].信息与电脑(理论版)，2013（1）.

〔8〕韩淑芳.基于P2P技术的网络应用及分析探讨[J].电子技术与软件工程，2013（15）.

〔9〕邹进明.学校公用计算机机房P2P网络流量管理策略[J].计算机光盘软件与应用，2013（8）.