周 強(qiáng)

摘 要:在目前中小學(xué)校園網(wǎng)普遍采用用戶共享固定帶寬接入的聯(lián)網(wǎng)模式下,P2P應(yīng)用大量占用網(wǎng)絡(luò)帶寬成為校園網(wǎng)管理的突出問題。在沒有對校園網(wǎng)P2P應(yīng)用進(jìn)行策略管理的情況下,P2P應(yīng)用的流量一般占用了網(wǎng)絡(luò)60%～90%的帶寬,使得學(xué)校的正常應(yīng)用往往得不到保障。文章根據(jù)筆者工作實(shí)踐,在實(shí)地調(diào)查大量校園網(wǎng)實(shí)例的基礎(chǔ)上,針對P2P應(yīng)用,從客戶端和出口兩個方面分別運(yùn)用Windwos 2008組策略禁止相關(guān)軟件運(yùn)行和Forefront TMG 2010流量插件限制線程、流量進(jìn)行管理。

關(guān)鍵詞:校園網(wǎng);P2P;組策略;線程;帶寬

中圖分類號:TP393.18文獻(xiàn)標(biāo)識:A 文章編號:1673-8454(2010)14-0072-03

引言

P2P指的是Peer-to-Peer,直接翻譯是點(diǎn)對點(diǎn)傳輸,P2P與傳統(tǒng)的少數(shù)服務(wù)器服務(wù)多個用戶的C/S服務(wù)模式不同,大部分的服務(wù)靠用戶間互相提供服務(wù)完成。通俗的講,就是采用“人人為我,我為人人”的服務(wù)模式,通過多線程提高上傳、下載速度。P2P給中小學(xué)校園網(wǎng)用戶帶來高速下載、高清網(wǎng)絡(luò)視頻、流暢網(wǎng)絡(luò)音樂等便利的同時,也帶來了一系列問題,如病毒的加速傳播、知識產(chǎn)權(quán)的侵犯、網(wǎng)絡(luò)帶寬的大量占用等。

在目前中小學(xué)校園網(wǎng)普遍采用用戶共享固定帶寬接入的聯(lián)網(wǎng)模式下,P2P應(yīng)用大量占用網(wǎng)絡(luò)帶寬的問題尤為突出。在沒有對校園P2P應(yīng)用進(jìn)行策略管理的情況下,P2P應(yīng)用的流量一般占用了網(wǎng)絡(luò)60%～90%的帶寬,極端情況下幾乎完全占用接入帶寬。學(xué)校投入大量資金建成的信息高速公路經(jīng)常因此堵塞,使得教學(xué)、科研和管理等工作的正常應(yīng)用得不到保障。

圖1為在100M接入的某中學(xué)校園網(wǎng)中,在沒有對P2P進(jìn)行管理的情況下,用迅雷下載一部電影的實(shí)時截圖,顯示速度達(dá)8.29MB/s,8.29MB/s*8=66.32MB/s,一個用戶下載一部電影占用的帶寬達(dá)校園網(wǎng)接入帶寬的60%以上,如果多個用戶、下載多部影片,或同時觀看P2P在線視頻,其結(jié)果可想而知。

有些學(xué)校原先使用10M光纖接入,在發(fā)現(xiàn)上網(wǎng)速度變慢時,首先考慮提高帶寬。從前面的例子可以看出,雖然網(wǎng)速提高了10倍,但并不能根本解決問題, P2P運(yùn)用會立即吞噬新增的網(wǎng)絡(luò)帶寬,學(xué)校增加了大量的接入費(fèi)用支出,結(jié)果只是部分P2P用戶充分享受了信息高速,學(xué)校的關(guān)鍵性正常應(yīng)用卻沒有得到改善,這已成為目前中小學(xué)校園網(wǎng)普遍存在的問題。目前針對P2P應(yīng)用進(jìn)行管理的方法很多,本文根據(jù)筆者多年的工作實(shí)踐,在實(shí)地調(diào)查大量中小學(xué)校園網(wǎng)實(shí)例的基礎(chǔ)上,總結(jié)出以下P2P應(yīng)用的管理策略,即從校園網(wǎng)的客戶端和出口兩方面對P2P應(yīng)用進(jìn)行有效管理。

一、運(yùn)用組策略禁止P2P軟件運(yùn)行

通過Windows活動目錄,實(shí)施組策略可方便、有效地對客戶端運(yùn)行的軟件進(jìn)行管理,本文以在Windows Server 2008 的活動目錄環(huán)境下實(shí)施組策略限制迅雷運(yùn)行為例,運(yùn)用組策略禁止軟件運(yùn)行的方法有幾種,其中“不要運(yùn)行指定的Windows應(yīng)用程序”這一策略,只要客戶端更改應(yīng)用程序名即失去控制作用;而軟件限制策略中的“散列規(guī)則”,當(dāng)應(yīng)用軟件升級或用工具軟件修改執(zhí)行文件的散列值,也同樣會失去控制作用。

通過限制dll文件的方法能有效限制軟件的運(yùn)行,dll是Dynamic Link Library的縮寫,是動態(tài)鏈接庫的意思,封裝著Windows應(yīng)用程序的函數(shù)。程序在執(zhí)行的時候, 必須調(diào)用相應(yīng)的dll文件中對應(yīng)的函數(shù), 才能夠正確地運(yùn)行。如果執(zhí)行文件調(diào)用的dll文件被禁止運(yùn)行,相應(yīng)的執(zhí)行文件就無法完成相應(yīng)的功能。應(yīng)用程序在升級的過程中,dll文件不可能全部改變,用戶也不可隨便更改dll文件名,更改了dll文件名,執(zhí)行文件就無法調(diào)用對應(yīng)的dll文件,所以禁止dll文件運(yùn)行,是禁止軟件運(yùn)行的有效方式。方法思路如下:

1.網(wǎng)絡(luò)中需要有一臺Windows Server 2008服務(wù)器升級到Active Directory(活動目錄,以下簡稱AD) ,用于提供身份驗(yàn)證及對校園網(wǎng)用戶實(shí)施組策略。為便于管理,用姓名全拼在AD上為學(xué)校教師創(chuàng)建實(shí)名賬號,所有的工作站以實(shí)名加入AD。

2.創(chuàng)建限制dll文件運(yùn)行組策略。單擊“開始”→“管理工具”→“組策略管理”→“域”→“組策略對象”,右擊 “新建”,在“名稱框”中輸入“禁止迅雷運(yùn)行”, 右擊“禁止迅雷運(yùn)行”→“編輯”→“用戶配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”,右擊“軟件限制策略”→“創(chuàng)建軟件限制策略” →“其他規(guī)則”,右擊“其他規(guī)則”,選擇“新建路徑規(guī)則”,在路徑名稱框中輸入ThunderStorage.dll。

單擊“軟件限制策略”→“強(qiáng)制”→“應(yīng)用軟件限制策略到下列文件”→“把默認(rèn)的庫文件(如 dll)之外的所有軟件文件”改為“所有軟件文件”。

運(yùn)行“gpupdate /force”強(qiáng)制刷新組策略,客戶端注銷登錄后啟動迅雷,提示不能正常啟動迅雷(如圖2)。

二、限制P2P應(yīng)用的線程、流量

對于互聯(lián)網(wǎng)應(yīng)用軟件,一般會考慮從防火墻上創(chuàng)建相應(yīng)策略,限制服務(wù)器IP或服務(wù)端口進(jìn)行管理。對于P2P應(yīng)用,限制目標(biāo)服務(wù)器的IP地址顯然不行,封服務(wù)端口也同樣不可行,如迅雷查詢和下載資源默認(rèn)使用TCP 3076和 3077端口,雷區(qū)注冊和登錄使用的是TCP 5200和6200端口,如果登錄端口TCP 6200、3076和3077端口都不通,就會自動跳轉(zhuǎn)到Http的80端口登錄。

鑒于上述問題,考慮限制用戶流量或線程的方法加以解決。目前ISA的流量插件、硬件防火墻、專用流量控制設(shè)備等都可以對P2P應(yīng)用的線程及流量進(jìn)行管理,本文以Forefront TMG 2010(微軟的企業(yè)級路由軟件防火墻 ISA的最新版,ISA Server由于配置靈活,升級方便,在中小學(xué)有著廣泛的使用)的插件“Bandwidth Splitter for Forefront TMG 2010”為例,方法思路如下:

1.在Forefront TMG 服務(wù)器上安裝“Bandwidth Splitter”流量控制插件。安裝后的流量監(jiān)控界面如圖3,通過該插件,網(wǎng)絡(luò)管理員可實(shí)時察看上網(wǎng)客戶端的IP、用戶名、機(jī)器名、線程數(shù)、下載上傳速度等,并有形象的示意圖,選擇相應(yīng)的客戶端還可在下方詳細(xì)顯示連接情況,為網(wǎng)管員合理設(shè)置訪問規(guī)則、流量控制規(guī)則提供依據(jù)。

2.運(yùn)用Bandwidth Splitter 創(chuàng)建線程、流量控制規(guī)則。啟動Forefront TMG Management 展開Bandwidth Splitter樹形目錄, 右擊“Shaping Rules”菜單→新建“Rule”, 根據(jù)規(guī)則向?qū)Ы⒘髁抗芾聿呗?如圖4所示,規(guī)則由源(Applies To)、目標(biāo)(Destinations)、計劃(Schedule)、功能(Action)等屬性組成,在功能上可限制流量或線程,考慮到P2P軟件主要因多線程影響其他用戶的上網(wǎng)速度,可針對單一用戶、IP或用戶組、IP集合靈活設(shè)置線程數(shù)(Connection Limit)、進(jìn)出流量(Incoming/Outgoing),一般上網(wǎng)瀏覽網(wǎng)頁只會占用幾個線程,運(yùn)用P2P軟件一個用戶會占用幾百個線程,網(wǎng)絡(luò)管理員可根據(jù)實(shí)際運(yùn)用情況調(diào)整線程數(shù),設(shè)置后會起到立竿見影的效果。

結(jié)束語

當(dāng)前,中小學(xué)校園網(wǎng)中P2P應(yīng)用軟件的數(shù)目不斷增加,流量也呈現(xiàn)逐漸增長的趨勢。為了使教學(xué)、科研和管理等工作的正常應(yīng)用得到保障,必須對P2P流量進(jìn)行有效的監(jiān)控和管理。中小學(xué)校園網(wǎng)管理員可根據(jù)校園中實(shí)際流量使用情況,有針對性地對P2P應(yīng)用選擇禁止或限制策略,保證校園網(wǎng)高效、穩(wěn)定地為教育教學(xué)服務(wù)。

參考文獻(xiàn):

[1]戴有煒.Windows 2008 Server 2008 Active Directory配置指南 [M].北京:科學(xué)出版社,2009.

[2]ISA中文站[DB/OL].http://www.isacn.org/.

[3]Windows服務(wù)器中文站[DB/OL].http://www.winsvr.org/.

(編輯:魯利瑞)