中小学校园网中P2P应用的管理策略

周 强

摘 要:在目前中小学校园网普遍采用用户共享固定带宽接入的联网模式下,P2P应用大量占用网络带宽成为校园网管理的突出问题。在没有对校园网P2P应用进行策略管理的情况下,P2P应用的流量一般占用了网络60%～90%的带宽,使得学校的正常应用往往得不到保障。文章根据笔者工作实践,在实地调查大量校园网实例的基础上,针对P2P应用,从客户端和出口两个方面分别运用Windwos 2008组策略禁止相关软件运行和Forefront TMG 2010流量插件限制线程、流量进行管理。

关键词:校园网;P2P;组策略;线程;带宽

中图分类号:TP393.18文献标识:A 文章编号:1673-8454(2010)14-0072-03

引言

P2P指的是Peer-to-Peer,直接翻译是点对点传输,P2P与传统的少数服务器服务多个用户的C/S服务模式不同,大部分的服务靠用户间互相提供服务完成。通俗的讲,就是采用“人人为我,我为人人”的服务模式,通过多线程提高上传、下载速度。P2P给中小学校园网用户带来高速下载、高清网络视频、流畅网络音乐等便利的同时,也带来了一系列问题,如病毒的加速传播、知识产权的侵犯、网络带宽的大量占用等。

在目前中小学校园网普遍采用用户共享固定带宽接入的联网模式下,P2P应用大量占用网络带宽的问题尤为突出。在没有对校园P2P应用进行策略管理的情况下,P2P应用的流量一般占用了网络60%～90%的带宽,极端情况下几乎完全占用接入带宽。学校投入大量资金建成的信息高速公路经常因此堵塞,使得教学、科研和管理等工作的正常应用得不到保障。

图1为在100M接入的某中学校园网中,在没有对P2P进行管理的情况下,用迅雷下载一部电影的实时截图,显示速度达8.29MB/s,8.29MB/s*8=66.32MB/s,一个用户下载一部电影占用的带宽达校园网接入带宽的60%以上,如果多个用户、下载多部影片,或同时观看P2P在线视频,其结果可想而知。

有些学校原先使用10M光纤接入,在发现上网速度变慢时,首先考虑提高带宽。从前面的例子可以看出,虽然网速提高了10倍,但并不能根本解决问题, P2P运用会立即吞噬新增的网络带宽,学校增加了大量的接入费用支出,结果只是部分P2P用户充分享受了信息高速,学校的关键性正常应用却没有得到改善,这已成为目前中小学校园网普遍存在的问题。目前针对P2P应用进行管理的方法很多,本文根据笔者多年的工作实践,在实地调查大量中小学校园网实例的基础上,总结出以下P2P应用的管理策略,即从校园网的客户端和出口两方面对P2P应用进行有效管理。

一、运用组策略禁止P2P软件运行

通过Windows活动目录,实施组策略可方便、有效地对客户端运行的软件进行管理,本文以在Windows Server 2008 的活动目录环境下实施组策略限制迅雷运行为例,运用组策略禁止软件运行的方法有几种,其中“不要运行指定的Windows应用程序”这一策略,只要客户端更改应用程序名即失去控制作用;而软件限制策略中的“散列规则”,当应用软件升级或用工具软件修改执行文件的散列值,也同样会失去控制作用。

通过限制dll文件的方法能有效限制软件的运行,dll是Dynamic Link Library的缩写,是动态链接库的意思,封装着Windows应用程序的函数。程序在执行的时候, 必须调用相应的dll文件中对应的函数, 才能够正确地运行。如果执行文件调用的dll文件被禁止运行,相应的执行文件就无法完成相应的功能。应用程序在升级的过程中,dll文件不可能全部改变,用户也不可随便更改dll文件名,更改了dll文件名,执行文件就无法调用对应的dll文件,所以禁止dll文件运行,是禁止软件运行的有效方式。方法思路如下:

1.网络中需要有一台Windows Server 2008服务器升级到Active Directory(活动目录,以下简称AD) ,用于提供身份验证及对校园网用户实施组策略。为便于管理,用姓名全拼在AD上为学校教师创建实名账号,所有的工作站以实名加入AD。

2.创建限制dll文件运行组策略。单击“开始”→“管理工具”→“组策略管理”→“域”→“组策略对象”,右击 “新建”,在“名称框”中输入“禁止迅雷运行”, 右击“禁止迅雷运行”→“编辑”→“用户配置”→“策略”→“Windows设置”→“安全设置”→“软件限制策略”,右击“软件限制策略”→“创建软件限制策略” →“其他规则”,右击“其他规则”,选择“新建路径规则”,在路径名称框中输入ThunderStorage.dll。

单击“软件限制策略”→“强制”→“应用软件限制策略到下列文件”→“把默认的库文件(如 dll)之外的所有软件文件”改为“所有软件文件”。

运行“gpupdate /force”强制刷新组策略,客户端注销登录后启动迅雷,提示不能正常启动迅雷(如图2)。

二、限制P2P应用的线程、流量

对于互联网应用软件,一般会考虑从防火墙上创建相应策略,限制服务器IP或服务端口进行管理。对于P2P应用,限制目标服务器的IP地址显然不行,封服务端口也同样不可行,如迅雷查询和下载资源默认使用TCP 3076和 3077端口,雷区注册和登录使用的是TCP 5200和6200端口,如果登录端口TCP 6200、3076和3077端口都不通,就会自动跳转到Http的80端口登录。

鉴于上述问题,考虑限制用户流量或线程的方法加以解决。目前ISA的流量插件、硬件防火墙、专用流量控制设备等都可以对P2P应用的线程及流量进行管理,本文以Forefront TMG 2010(微软的企业级路由软件防火墙 ISA的最新版,ISA Server由于配置灵活,升级方便,在中小学有着广泛的使用)的插件“Bandwidth Splitter for Forefront TMG 2010”为例,方法思路如下:

1.在Forefront TMG 服务器上安装“Bandwidth Splitter”流量控制插件。安装后的流量监控界面如图3,通过该插件,网络管理员可实时察看上网客户端的IP、用户名、机器名、线程数、下载上传速度等,并有形象的示意图,选择相应的客户端还可在下方详细显示连接情况,为网管员合理设置访问规则、流量控制规则提供依据。

2.运用Bandwidth Splitter 创建线程、流量控制规则。启动Forefront TMG Management 展开Bandwidth Splitter树形目录, 右击“Shaping Rules”菜单→新建“Rule”, 根据规则向导建立流量管理策略,如图4所示,规则由源(Applies To)、目标(Destinations)、计划(Schedule)、功能(Action)等属性组成,在功能上可限制流量或线程,考虑到P2P软件主要因多线程影响其他用户的上网速度,可针对单一用户、IP或用户组、IP集合灵活设置线程数(Connection Limit)、进出流量(Incoming/Outgoing),一般上网浏览网页只会占用几个线程,运用P2P软件一个用户会占用几百个线程,网络管理员可根据实际运用情况调整线程数,设置后会起到立竿见影的效果。

结束语

当前,中小学校园网中P2P应用软件的数目不断增加,流量也呈现逐渐增长的趋势。为了使教学、科研和管理等工作的正常应用得到保障,必须对P2P流量进行有效的监控和管理。中小学校园网管理员可根据校园中实际流量使用情况,有针对性地对P2P应用选择禁止或限制策略,保证校园网高效、稳定地为教育教学服务。

参考文献:

[1]戴有炜.Windows 2008 Server 2008 Active Directory配置指南 [M].北京:科学出版社,2009.

[2]ISA中文站[DB/OL].http://www.isacn.org/.

[3]Windows服务器中文站[DB/OL].http://www.winsvr.org/.

(编辑:鲁利瑞)