基于校园网的P2P技术应用与控制的研究

宋志

福建信息职业技术学院 福建 350003

0 前言

随着数字校园，校园信息化等校园网络服务的不断增加和推进，以P2P技术为基础的迅雷、BT、ppstream、emule等应用所占校园网流量比例越来越大，严重干扰了学校正常网络应用的开展。本文在梳理P2P发展最新技术的基础上，重点分析了P2P技术在校园网体现出的实际应用，特别阐述了因P2P技术给校园网发展带来的不利因素以及造成的严重后果。本文提出端口控制、数据管理和专业流控等解决方式，可以根据校园网的结构、规模、安全等级级别、建设资金等，进行灵活的控制手段组合，有效的控制P2P在校园网的应用，保证了校园网正常应用的带宽，提高了校园网的运行效率。

1 P2P概念

传统以C/S结构的互联网都是一个服务器对应若干客户机模式，服务器成为网络发展的瓶颈，P2P采用分布式结构，各节点可以直接交互协作，既可以充当客户机，也可以充当服务器，从而实现“一对一”网络。相对于传统网络，P2P拥有非中心化、可扩展性、隐私保护、负载均衡、高性价比等方面的特点。

按照P2P技术的发展过程，P2P结构可分为集中式目录式结构、纯P2P网络结构、混合式P2P结构、发展中P2P结构等4种。集中式目录式结构沿用了C/S架构思想，保留中央目录服务器为节点提供资源搜索服务，该结构优点是容易实现网络管理和控制，缺点是过于依赖服务器的存在，其典型应用代表为Napster；纯P2P网络结构最重要是引入分布式概念，优点是去除服务器中心化的问题，不足点是因节点采用广播传输机制导致的带宽消耗、网络稳定性和安全性问题，其典型应用代表是Gnutella；混合式P2P结构是集中式目录式结构和纯P2P网络结构的有机融合体，其典型应用代表是Kazaa。

2 P2P技术新发展

2.1 IPV6促进P2P发展

首先，IPV6将IP地址扩展到128位，为P2P网络提供更多的节点数；其次，IPV6采用类似CIDR的编码方式，简化了节点通信的路由方式，加快了路由效率；再者，IPV6节点之间通信，减少因NAT产生的附加通信控制；最后，IPV6机制中加入的身份验证、数据一致性、保密性结构，为P2P实现高效安全控制实现提供了技术基础。

2.2 P2P安全技术新发展

P2P采用的分布式结构和广播式机制，在安全方面发展未得到足够重视：身份验证、授权、加密解密、数字签名、传输安全等，由此网络中表现出的主要威胁有：P2P信息共享、路由攻击、分隔攻击、存取攻击、过载攻击、防火墙穿透问题、行为不一致、网络病毒等，针对这些问题，以数字版权保护管理、IPSec、SSL、PKI、SET、DPI等为代表的各种安全技术已广泛融入到P2P的通信过程。

2.3 云计算与P2P

云计算由于其高昂的建设成本，以及其潜在的安全隐患，使得其应用主要集中在高端市场，已成为当前云计算发展瓶颈所在。P2P技术也由于大量消耗网络带宽、盗版扩散和非法文件传播等因素，其发展也受到较大的限制。P2P和云计算都基于分布式机制，其技术实现原理也有较多相似之处，所以通过两者的结合，正好可以相互补充，促进各自的发展。P2P借助云时代大型企业提供的云计算基础服务、平台服务和快速发展的带宽服务，可以补充其安全机制和带宽不足的问题，拓展了P2P的生存空间。而云计算通过P2P的应用，可以减少云端对云平台的绝对依赖性，有效的延伸了云服务的应用范围，加速了其发展脚步。

2.4 移动DSN架构推进P2P发展

近年来，移动互联网网络数据流量已远远超过无线宽带的增长速度，给移动网络制造巨大威胁。随着中国移动DSN2.0技术白皮书的发布，分布式P2P技术正式进入移动互联网核心架构内容，充分发挥P2P资源共享优势，以破解移动互联网络流量难题，加速三网融合的进程。

3 P2P技术在校园网的应用及存在问题

3.1 P2P技术在校园网的应用

P2P技术因其自由，平等互联的特性，使其在资源共享、分布计算、即时通讯等应用领域得到广泛应用。具体到校园网，其主要应用包含以下几个方面。

3.1.1 文件资源共享

资源共享是P2P在校园网中应用最基础的一种。传统方式下，庞大的用户连接数和带宽需求给服务器造成了严重的负担，影响共享效率。P2P技术不同于传统共享方式，用户获取资源并不存在于服务器中而是存储在用户当中，用户只需直接与其他对等用户直接连接，获取共享资源，既简化了连接方式，也提高了数据传输效率。当前，主要典型应用是BT、电驴、迅雷等下载软件。

3.1.2 流媒体服务

随着学校数字信息化的建设脚步，精品课程、数字资源库等视频资源已成了校园网络资源不可或缺的组成部分。传统模式下，局限于存储视频资源的服务器本身性能，用户访问资源经常出现掉线、无法访问等故障，严重影响其使用效率。在P2P技术应用到流媒体服务之后，因服务器产生的瓶颈自然消失，从而快速推进了流媒体的快速发展。另外，除了校园本身的资源之外，因特网上丰富的视频资源也是校园师生重要的学习和生活来源。当前，主要典型应用是ppstream、pptv、迅雷看看等视频软件。

3.1.3 即时通信

即时通信是互联网继电子邮件、WWW服务之后被广泛应用的一种服务。随着使用即时通信用户人群的不断扩大，P2P技术被适时引入其中，即时通信内容上从最初的文字交互拓展到语音、图像、视频、数据等，应用平台也从单纯的互联网应用演变成跨互联网、手机、固定电话等多平台。目前，应用最为广泛的应用是：QQ、MSN、Skype等。

3.1.4 分布式计算

校园是计算机密集度很高的网络单元，而且学生终端很多资源尤其是CPU都没有被充分利用，造成了大量的资源浪费。通过P2P技术，可以整合各个终端的资源，进行统一调配，这样就相当于制造了一台超级计算机，从而可以实现繁杂的科学计算。最为典型的应用是美国的SETI@Home项目。

3.2 P2P技术在校园网应用中存在的问题

由于P2P技术本身的优势，校园网中P2P应用非常广泛。校园网在没有对网络数据流控进行任何调控的情况下，因P2P产生的非关键业务数据流量消耗了校园网大部分带宽，从而关键业务运行得不到保证。同时，P2P应用也给校园网网络安全带来了新的安全隐患。

3.2.1 网络带宽过度消耗

网络带宽占用是P2P技术给校园网造成的最大困扰。学生大量使用的迅雷、BT、PPlive等软件，迅速抢占了大部分网络带宽资源，大大影响校园网的其他应用，严重时直接导致网络瘫痪。

3.2.2 网络安全性不足

学生对知识的求知欲望是不可想象的，在学校，经常发现网络故障是学生对学校网络进行的有意或者无意攻击行为，P2P技术本身存在的安全缺陷大大的加大了学校网络被攻击的可能性。同时，由于采用P2P技术的数据在传输过程中节点直接通信，病毒可以更加隐蔽的潜伏在正常数据中，从而病毒在网络中的传播更加迅速与容易，极大的放大了病毒对网络的破坏力。

3.2.3 数据安全性低

当前，P2P应用主要偏向娱乐数据，数据的安全机制并没有得到足够的重视，数据在网络传输过程中容易被窃取和篡改，数据的所有权也难以界定。同时，P2P技术涉及硬盘长时间被频繁的调用，硬盘私密数据被非法调用的可能性也大大增加。

4 校园网P2P识别与管理

4.1 P2P的识别

要进行P2P流量的控制，首先必须能对P2P流量进行有效的识别。P2P检测技术可分为两大类别，一种是基于数据包检测技术，包含端口类检测技术和应用载荷检测技术；另外一种则针对数据流进行分析，主要有基于行为特征和基于机器学习的应用，如表1。

表1 P2P的识别技术对比表

4.2 P2P流量管理

区别于运营商级别大小的网络，各学校校园网规模差异较大，管理机制也不尽相同，所以不能一味部署专业设备进行控制。学校进行流量控制管理时，一般要结合几方面因素进行综合考量：网络规模大小、技术人员技术水平、网络管理可投入预算成本等，寻求最合适本校网络实际环境的手段。可采用的主要技术手段包括以下几种。

4.2.1 端口控制

根据P2P应用使用协议端口通信的特性，在校园网交换机、路由器和防火墙等网络设备上，使用Acl和Qos等策略，对P2P应用进行控制。由于当前大部分P2P应用使用随机端口，所以在实际中有效的策略是：通过专业监控软件对校园网的流量进行观察，区分网络流量中的关键业务和非关键业务的端口使用范围，然后对非关键业务端口进行控制。

通过此法，可在一定程度上控制P2P的流量抢占能力，同时它也存在一定的局限性。首先关键业务和非关键业务端口区分只能做到粗略的定义，准确度不高，在实际应用中可能对部分关键业务也进行了限制；另外P2P应用在非关键端口被控制之后，会随机改变应用端口，甚至抢占关键业务的端口，从而逃离控制；再有一个不足之处就是这种端口限制都是对P2P应用进行禁止使用的限制，无法限制P2P应用在可控的流量下运行。

4.2.2 用户数据控制

在校园的网络出口设备中，都会附加一些流控的功能单元，若用户能合理启用，网络状况也能得到极大的改善。通过防火墙、应用网关、认证计费网关等设备附带的流量控制功能，可以对网络用户的即时带宽、会话并发数、上网时间段和数据总流量等相关参数进行阀值设定，抑制P2P流量在校园网中泛滥使用。该种方式属于消极控制模式，通过限制用户的总数据流量，逼迫用户为了保证自身正常业务的应用而自觉减少P2P流量的应用，无法主动区分P2P应用。

4.2.3 专业流控系统控制

以上两种控制方式都采用的是被动控制模式，主要都是从网络其他方面进行辅助控制，而没有直接对具体P2P应用进行有效识别与管理。对于网络规模较小，P2P应用相对较少的网络，以上两种控制能起到不小的效果，而对于因P2P应用产生堵塞的网络，其控制效果不佳。为此，市场上推出了专业流控产品，比如Allot、Cisco和深信服等，采用DPI(Deep Packet Inspection)和DFI(Deep Flow Inspection)等智能技术，精确识别各类P2P应用，对于P2P流量控制与管理效果良好。

4.3 实施效果

下面以笔者所在福建信息职业技术学院(以下简称“学院”)为例谈谈P2P技术在校园网中应用与控制的实施效果。

4.3.1 网络测试环境

福建信息职业技术学院出口为电信100M和教育网10M，同时在线机器数达1500台，二级网络之间采用OSPF进行互联。在没有进行任何流量控制手段时，学院网络基本处于严重堵塞状态，正常业务根本得不到任何保障。由此，借用专业流控设备进行流量分析，发现造成网络堵塞的主要应用就是P2P。

4.3.2 端口控制结合用户数据控制方式

在没有购买专门的流控设备之前，主要结合端口控制和用户数据控制手段，对P2P流量进行限制。首先在防火墙附带的流量控制功能上启用：

(1) 每个IP最大并发连接数《250个；

(2) 实验室机房的IP段总流量最多为总带宽的30%；在安腾计费系统中，对用户进行流量控制限制：每个教师账号下行《1MBps；学生账号下行《250kbps；

(3) 在网络堵塞严重时：核心交换上启用QoS，将TCP和UDP的2 000～65 535端口屏蔽通信。

通过设置，网络基本恢复正常应用，网络出现堵塞的频率明显降低，从图1可看出，P2P与P2P流媒体流量合计占总流量的55.9%。但是校园网仍会出现网络延时过长，网络丢包等现象，有时因P2P流量过大，正常业务例如WEB页面访问都偏慢。这样的网络，对于需要网络质量保障的业务就无法满足，比如学院与台湾高校的远程视频授课、校外专家外网实时对学院精品课程网上评审等。

图1 端口控制及用户数据控制后上网应用流量图

4.3.3 专业流量控制网络状态方式

为了提高对网络流量进行更精细度的控制，学院部署了深信服的流控设备，对P2P应用从时间和带宽使用上进行管理和控制，控制效果良好。图2显示了设备策略后的网络流量分布，P2P与P2P流媒体流量合计36.7%，属于比较合理的网络带宽占用比例。不足之处在于，由于本身设备需要串接在网络出口中，无疑又给网络增加一个单点故障点；而且其性能也可能成为校园网络的一个新瓶颈；另外，该种流控设备对于新兴出现的P2P应用的识别能力不够成熟，还有待加强。

图2 专业设备控制后上网应用流量图

5 总结

本文侧重说明了P2P技术在校园网中的应用，以及给校园网造成的困惑和问题，然后针对问题，结合校园网特点，为各类学校提出了可采用端口控制结合用户数据控制方式和专业流量控制网络状态方式的有效解决方法。新兴发展的P2P应用识别与控制技术是未来需要着力研究的重点。另外随着云计算和物联网的发展，如何有效的对智能终端P2P应用进行有效管控也是一大挑战。

[1] 刘浩.P2P网络的若干关键问题研究[D].华南理工大学博士学位论文.广州:华南理工大学.2010.

[2] 蒋林涛. P2P技术的分析与研究[J].电信网技术.2007.

[3] 周亚建,杨义先.与P2P技术相关的信息安全问题[J].电信工程技术与标准化.2006.

[4] 孙健昆.云计算时代的P2P技术.互联网周刊.2011.

[5] 刘刈.试论P2P技术在校园网网络的应用及流量控制.实验室科学[J].2011.

[6] SETI@HOME[EB/OL]. http://www.equn.com/seticn/. 2006.

[7] 田成.基于校园P2P网络技术应用及安全机制分析[J].科技向导.2011.

[8] 彭建芬.P2P流量识别关键技术研究[D].北京邮电大学博士学位论文.北京邮电大学.2011.