BT(BitTorrent,變態下載)的出現讓許多上網使用者在下載各種軟體、電影等大塊頭資料時,體驗到了飛一樣的速度。然而,對於企業網路來說,這種基於P2P技術的檔案共享對執行在其中的企業級應用,如ERP、CRM、VoIP等等,卻造成巨大的衝擊。無疑,對於企業網路的管理者來說,監視和控制網路中間的BT流量成了一個很緊迫而且頭疼的問題。為什麼說是頭疼的問題呢,原因還需要從P2P下載和BT技術本身說起。
什麼是P2P下載技術
“Peer to
Peer”(簡寫P2P)是一種嶄新的網路技術思想。不同於以往的有伺服器和客戶機結構區別的主從網路,它是一種對等網路技術。在某些場合,這種技術也稱為“點對點”技術。P2P技術被認為是下一代網際網路結構,代表著發展趨勢。P2P技術是一個比較廣泛的概念,以下主要討論的是這種技術在內容共享和檔案下載方面的應用。
傳統伺服器/客戶機下載概念是這樣的,一臺擁有目標檔案的計算機(伺服器),將目標檔案共享出來,讓一名或者多名下載者(客戶機)在其上進行下載。這種下載離不開這個“一對一”或者“一對多”的共享概念。這種方式顯而易見的瓶頸在於伺服器和其所在網路,如果下載的人越多,伺服器的本身資源和所在網路資源就會不夠,那麼對應的客戶機下載的速度就越慢,甚至無法下載。
P2P下載技術是對傳統下載技術的變革,跨越了傳統的共享思路,實現了“多點對多點”的共享概念。
在使用P2P下載工具下載檔案過程中,每一個下載者同時都會擔當了上載者的角色,越多人下載,亦即表示擁有越多上載者將它們暫時不用的上載頻寬分享出來,形成了一個“上載流”,再平均分給各個下載者。簡單來說:你每次下載檔案的同時,你就會將下載完的檔案共享出來,不論是多少MB都會平均分享給每一位下載者,這就是“多點對多點”的共享概念。
BT與P2P的關係
BT之父Bram
Cohen宣稱:「很明顯,他們(指傳統方式的下載軟體)的問題在於沒有足夠的頻寬來滿足人們的需要。我很清楚,實際上有很多的頻寬擺在那裡,但是它沒有被恰當的使用。還有許多上傳容量是人們沒用到的。
P2P網路下載技術的發展可以被劃分為三代:第一代是以Napster為代表的、還用中央伺服器管理的P2P,這一代的P2P生命力十分脆弱――只要關閉伺服器,網路就死了。Napster後來因為版權法被封了,這個P2P的網路就消失了;第二代分散式P2P沒有中央伺服器,但是速度太慢,如KaZaA這樣的檔案共享軟體;而第三代為混合型,採用分散式伺服器。目前我國流行的BT和eMule(電騾)就是屬於這類。
在像Napster和KaZaA這樣較早期的P2P檔案共享系統下,實際上只有很小部分人把檔案向其他人分享,大部分使用者都只是簡單地下載。然而BT則使用了所謂的Golden
Rule原理:你上傳的速度越快,你下載的速度就越快。BT把檔案分割成許多小塊,當一個使用者下載了某一小塊時,它就會立即把這一小塊上傳給其它使用者。因此,所有的使用者在下載的同時,也在把自己已下載部分上傳給他人。BT的這種工作原理,使得做“種子”的使用者只需少許頻寬,就可以把大檔案共享給大量的下載者。
如果說Napster是檔案交換的第一波,像KaZaA這樣的軟體則代表了第二波。那麼,由Bram
Cohen開發的BT將會引領檔案交換的第三波――目前BT實際的使用者難以估量,但是BT這個軟體至少被下載了1000萬次以上。而且軟體的變種也很多,像國內流行的就有BitTorrent官方版本,BitTorrent
Plus II,BitSpirit,BitComet,貪婪BT等等很多種。
BT的總體使用情況是很難去衡量的。但是Internet2主幹網基礎構造的主管Steven C.
Corbato表示,他在2003年5月份開始就注意到BT的流量開始激增。從當年10月份開始,BT的流量更是超過了這個超高速網路總體流量的10%。與之對比,其它的檔案交換系統的流量沒有一個能超過Internet2總體流量的1%。去年的6月份(2004.6),更是一個分水嶺,在網際網路上流傳的視訊流首次超過了音訊流,這中間BT的作用功不可沒。
BT給企業網路造成的問題
BT下載以其獨特的優勢受到廣大使用者的喜愛,它在下載的同時還為其他使用者提供上傳,因此下載的人越多,它的速度越快。因此,在高速的企業網路上下載巨大的音樂、電影檔案是非常流行和普遍的。不過,麻煩也隨之而來。
1. 改變了企業網路流量
儘管很多網路管理者知道在他們的網路中間存在BT下載,但很少有人真正瞭解這種應用佔據了多少頻寬資源。如果他們知道BT下載使用了他們網路中間60-70%的廣域網頻寬,可以想象他們會如何驚訝。很多企業使用廣域網來連線各個地區的分支機構,BT下載嚴重破壞了廣域網的出口頻寬資源分配,徹底改變了企業網路流量構成。
2. 網路流量不可預知性
BT下載流量具有很大的侵略性。為了更有效率的交換檔案,BT下載程式在啟動時會建立數量巨大的連線,這些連線會使得網路流量突然迸發,進而在相當一段時間內維持很大的網路流量。這種情況會帶來很嚴重的問題。在企業網路中間,BT下載不是唯一的應用程式,其他關鍵應用同樣執行在這個網路上,並且使用了同一個廣域網出口。
3. 網路擁擠,造成企業關鍵業務明顯延遲
企業關鍵業務,如ERP系統、財務管理系統、供應鏈管理系統等等,這些應用會和BT下載共享企業的網路頻寬。而這些業務系統通常都是對反應時間要求很高的。在BT下載執行時,操作人員會明顯地感覺到這些業務系統反應很慢,甚至沒有反應。其他對反應時間要求不是很高的應用,如電子郵件、資料備份、資料庫資料同步等等,也很容易遭受到頻寬的威脅。
4. BT下載造成很大的入站流量
當企業內的使用者開始使用BT下載,入站的流量就會從網際網路經過廣域網入口到達企業內部網。使用者通常使用BT下載大量的多媒體檔案,包括MP3格式的音訊檔案、CD映象、壓縮的電影檔案,以及光碟映象(ISO)、大型軟體。這些檔案小則4~5M,大則600~700M,甚至上G,全部資料均通過廣域網出口流入。大量的BT下載必然造成很大的入站流量。
5. 充當上載伺服器,BT也帶來巨大的出戰流量
根據BT的原理可以知道,使用BT下載的主機同時也充當了上載的伺服器。不管使用BT的使用者是否知道這個原理,BT下載帶來了大量的出站流量。另外,在下載的任務結束之後,執行BT下載的主機將作為一個種子(Seed),將已經下載完成的檔案提供給其他的BT使用者使用,此時,網路流量基本上都是出站流量。這些流量會和其他的應用爭奪有限的廣域網出口出站頻寬資源,造成其他應用的延遲。
6. 無法正確識別BT流量
儘管很多企業網路的管理者知道在他們的網路上執行有BT下載應用,但他們通常沒有工具去發現這些流量,因此也不會了解BT下載對他們管理的網路帶來的衝擊。造成這種問題的原因有很大一方面來自BT下載使用的通訊機制。BT下載使用的機制比較容易迷惑人,它使用了動態埠,同時將本身的流量偽裝成為HTTP流量。這種與生俱來的特性源於P2P程式的防禦機制。使用這種機制後,BT下載流量很難被防火牆、路由器以及其他的過濾裝置發現。傳統的監控裝置都是工作在OSI模型的第2、3或者4層,通過IP地址、MAC地址、TCP/UDP埠等等監視網路流量。這樣的設計帶來的問題就是,缺少對應用層(OSI模型的第7層)流量的分析,因此也無法比較出正常的HTTP流量和BT下載的流量區別。為了識別和管理BT下載流量,企業網路管理者必須使用基於第7層流量的分析工具。應用層分析技術
目前一些上網行為管理軟體採用了基於協議特徵碼的封堵。如當前國內流行的“聚生網管”軟體(上網檢索“聚生網管”,從其官網下載即可使用),通過集成了主動防禦、協議報文攔截、伺服器智慧判斷和遮蔽、連結數控制、BT站點智慧遮蔽和BT下載常規控制等高達6層分層過濾技術,從而可以完全封堵P2P下載、防止P2P軟體搶佔區域網網速。
控制BT下載
每個企業網路的管理者對管理的網路都有不同的理解,因此,對於BT下載的控制方式也不盡相同。拋棄這些方面的不同,基本上可以參照以下幾種方式來控制BT下載:
1. 將整體BT下載的流量控制在某個範圍內
如整個企業可以使用的BT下載流量設定為1Mbps。企業剩餘的其他網路頻寬資源可以給關鍵業務或者其他非關鍵業務使用,有效地防止BT下載侵吞大量網路頻寬資源。
2. 限制或者禁止在特定時間段內的BT下載
企業工作時間內限制或者禁止BT下載,這樣工作時間內不會有BT下載流量和關鍵業務競爭,也充分保護了企業關鍵業務。同時,在非工作時間,企業員工也可以自行利用高速的企業網路資源。
3. 將企業關鍵業務劃分到專用動態頻寬中間,BT下載使用剩餘頻寬,避免兩者競爭。
某些特定企業會使用BT下載提供服務。對於這樣的企業,由於BT下載具有很高的侵略性,因此需要使用保護機制來保障其他關鍵業務的正常執行。通過將其他業務劃分到動態頻寬中間,充分保護這些應用。剩餘的網路資源可以全部提供給BT下載使用。