使用IDP来控制对等间流量

Juniper重视学术联网客户的原因之一在于他们常教会我们不懂的联网知识。今后我们就可以利用这些新知识来改进产品或向客户展示全新的技术应用方法。今天，我想与大家分享我们最新的一些发现。

我们所有的客户都面临管理对等间流量的挑战。虽然某些商业客户可选择关闭（或试图关闭）对等间的应用流量，但大学院校通常不能接受这种奢侈的选择，因为在某些环境下，某些类型的p2p应用是有用的。许多情况下，虽然关闭Kazaa不会引起极为广泛的反响，但关闭Bit Torrent和P2P消息传递应用将招致极大的不满和批评。 

尽管这些应用是有用的，但是由于网络运营商习惯利用您的网络来实现他们的目标，因此，这些应用仍将带来巨大的挑战。例如，如果您希望通过Bit Torrent获得较快的下载速度，您就应该允许客户将您正在下载的文件分发给其他需要这些文件的客户。因此，单一Bit Torrent下载可能生成几百条链接，大多数流量是从您的网站分配到其他网站的数据。某些机构禁止在网络上使用IM和Bit Torrent等应用。然而，即使禁用p2p应用，鉴于应用极易穿过防火墙，因此，您仍然将很难良好地执行禁用规定。

出色的网络经理是不能对此置之不理的，绝对不能无奈地说：“我们无法禁止它，顺其自然好了。”网络经理有责任了解网络上传输的流量并采取适当措施来防止损害的发生，无论是对用户服务还是对组织预算的破坏！如果您无法评估它，就无法控制它，进而将无法管理它。

庆幸的是，我们可通过某些工具对网络上的P2P流量进行控制。先进的IDP (入侵检测与防护)设备可识别出大多数P2P流量，包括伪装成web流量等善意流量的P2P应用。这些工具能够从状态上透析网络流量的内容，并可跟踪防火墙难以捕获的应用层信息。根据默认设置，这些工具通常可覆盖到L4报头，并可通过深层检测功能再延伸一个层次。

识别属于 P2P应用的链接是一项良好性能，但不能解决我们的所有问题。如果您只识别出一条链接，可选择保持链接还是断开链接。但单条P2P链接本身经常是相对无害的，造成损害的是大量链接的融合行为。我们最好能够管理网络中所有被允许的P2P应用的融合行为。我们最希望听到的是：“我们允许在网络中使用Bit Torrent，但Bit Torrent的融合流量不得超过 10 Mbps。”或者是：“我们将测量所有被允许的P2P应用所消耗的融合入站带宽，始终将其控制在15 Mbps范围内。”

虽然IDP设备能够识别出属于P2P应用的对话，但它们运行在逐链接级别。为了让它们在融合级别发挥作用，我们需要IDP设备与边界路由器协同运行，这也是客户打算开展的一项工作。安装在边界路由器外的IDP设备将识别出所有的P2P连接并标记这些数据包的DSCP，以便边界路由器(运行在数据包级别)能够识别出所有的入站P2P流量，然后对这些流量应用分类，为流量分配特定的融合带宽，或只是通过计数器进行测量。通过这种方法，网络经理可保持对P2P流量进行一定的控制，确保它们不占用到骨干的网络连接。

如果希望对流量进行双向控制，则IDP设备的连接要更加复杂些，但并不是无法实现的。无论如何，这在我看来都是个好主意，因此我愿意与大家共享。

您可能奇怪我为什么还没提到Skype，许多时候，Skype都是最有用也是最隐蔽的P2P应用。这是因为Skype是个特例，拥有极高的灵活性且大多数交换都经过了加密，是最难检测和控制的P2P应用。另一方面，学生离家较远且预算有限的大学院校等机构，在考虑切断这个可供学生与家人进行经济高效的交流工具前一定会三思而后行。我们可以对此做一些些事情。在今后的期刊中会以整篇文章来说明Skype。同时，我热切盼望聆听您的组织在策略和技术方面对Skype及园区中其他免费VOIP应用的处理办法。

总之，禁止对等间流量,限制对等间流量,监控对等间流量,过滤对等间流量,控制对等间流量,管理对等间流量,屏蔽对等间流量,阻断对等间流量,拦截对等间流量,封堵对等间流量,禁用对等间流量,禁对等间流量,限对等间流量,封对等间流量,禁对等间流量,限对等间流量,封对等间流量,对等间流量端口,对等间流量协议,对等间流量服务器IP,如何控制对等间流量,如何网络病毒,如何限制对等间流量,如何封堵对等间流量,如何监控对等间流量,如何局域网管理对等间流量等等这些功能，聚生网管限制电脑上网软件都可以实现！

相关链接：