有效监控和管理P2P流量的解决方案

　　由于P2P应用无限抢占带宽的特性，使得原本并不富裕的网络带宽更是捉襟见肘。各种P2P管理系统应运而生，实现了对P2P的有效管理。不过2008年伊始，各种P2P应用开始升级，新型P2P应用开始采用加密的手法，伪装协议，加密目标地址IP等方式来防止P2P应用数据包的识别和检测。

　　新版本的P2P应用导致一些传统的P2P管理手段失灵，很多网络被P2P管理重新侵袭，再次沦为带宽紧张的重灾区。面对快速演化的P2P应用，如何进行有效的管理成为2008网络流量管理的一大难题。网络应该采用怎样的解决方案应对不断变化的P2P应用呢?

　　P2P特征与管理难点

　　要应对首先就要了解P2P应用的特点。P2P应用流量主要的特点表现为：抢占空闲带宽、上下行流量对称、一对多点链接、大部分端口可变、协议相对固定、流量特征不明显。这些特征导致P2P在采集分析、识别和管理方面比较困难。

　　从P2P数据采集分析来看，由于流量特征不明显，所以需要一定的存储和计算能力才能达到实时检测过滤的效果。传统的网络设备的存储和处理能有有限，无法满足要求。只有应用流量管理设备由于自带的存储和处理能力才能达到实时采集分析。当然也可以采用离线检测的方式(这是一些上网行为管理系统采用的方法)，但是这种方法有效及时处理10Mbps以上的流量。所以P2P数据采集与分析要求比较高。

　　从P2P流量识别来看，P2P现在大部分采用动态端口，而且数据包已经开始加密，并且其链接的IP广泛，所以通过固定IP链接或端口的识别无法满足要求。需要对数据包进行深度分析，才能准确识别P2P的数据包以及其内部的各种数据链接。而对数据包的深度分析，具有一定的技术门槛，而且对设备的运算能力也是另一层考验。

　　从P2P流量管理来看，在P2P应用识别后，如果仅仅是屏蔽则只需要将P2P数据包屏蔽掉即可，但是如果需要现在P2P流量到一个范围，最好的办法就是对请求队列做一定的修改，这也需要管理设备具有一定的计算能力，所以P2P管理也将是一个难点。而且P2P应用升级也较快，这更为识别和管理造成很大的难点，需要定期更新，尤其国内的P2P应用(如：迅雷、BaiDuX等)。这也是国外网络设备难于在P2P管理方面立足的主要原因，毕竟相关的国外的设备本地化研发等方面都有欠缺。

　　常见的P2P管理方案

　　为实现P2P流量的快速识别与管理，Cisco、WSDOM、NetAPP等公司推出了不同的解决方案来进行管理。

　　1.流统计状态路由器：Cisco等交换路由生产商提出的。流统计状态路由器可以在IP层通过统计流量特征的方式识别P2P流,从而可以提取出经过编译码的或者是未知的新型P2P流。这种方式更新相对缓慢，难以应对P2P的更新。不过投入较低，屏蔽效果也不明显。

　　2.应用流量管理设备：WSDOM等应用流量管理设备提供商，通过DPI扫描分类出流的应用层协议，标识出具体的P2P业务类型，并修改数据包优先级和排列顺序进行管理。这种方式能够对P2P实现限制带宽等管理，国内的厂商更新模块较快是可选择的方案，不过相对的投入较高;国内也有一些网络监控软件系统，如聚生网管等，可以解析P2P工具在网络应用层传输的数据包的协议特征码，通过匹配这些征码进行P2P数据包的过滤，效果十分明显，而且更新速度较快，投入也比较少，是最佳选择。

　　3.智能防火墙：类似NetAPP等公司提供了智能防火墙可以为企业网P2P监管提供服务，它利用数字签名技术识别P2P数据,并阻断未经授权的P2P流。这种方式相对简单，但是器更新也缓慢，而且管理方式仅限于屏蔽。

　　从效果看，第二种解决方案是最好的。但是国内的应用流量管理设备提供商不多，国外的设备提供商则受限于本地化，所以只有一两家厂商产品可以选择。

　　P2P管理的未来之路

　　当前，越来越多的P2P工具的传输协议采取加密的方式，所以未来封堵P2P流量将会日益困难，所有有效地控制主机的P2P流量将更多地采用限制总体带宽的方式，通过对局域网主机的个别带宽的精确管理来合理分配网络资源，将是企业未来的必然选择。这方面，国内外都有一些监控系统可以参考，如国外的websense，国内的聚生网管系统等等。