反对P2P限速，铁通限制用的什么手段？

allbit

反对P2P限速，铁通限制用的什么手段？

铁通对P2P应用都有限速，BT,eMule等很多P2P应用都不能幸免，BT和emule即使打开了协议加密也不能用,技术上如何实现用了什么手段，请给予分析和解释。

softmic

目前一般的做法有：
（1）限制连接数
（2）作应用层分析，然后限速

我们估计铁通是使用了第二种方式。P2P应用都是双向的，虽然你打开了加密选项，但是由于不同的客户端的缘故，你所下载的对端不一定支持，因此
最终还是有可能使用非加密协议传输。另外也不排除铁通能够通过某种手段识别加密协议。Panabit就对这些协议都可以准确识别！

panabit

原帖由 huweimail 于 2007-5-18 07:59 发表
铁通全国都是用的allot吧？
allot和cisco sce是两大主力，上海有线、上海电信、上海联通我都知道用了很多这类的设备，我测试的时候allot效果还是非常不错的。当时我公司300多兆的internet出口里面有270兆是p2p ...

非常感谢！！！

baggio

事实上panabit工作室成员以往都具有几年的ISP和其他的行业经验。诚如你所言，跟运营商打交道确实需要多方面的支撑，并且运营商的项目普遍周期长、回款慢、关系网复杂....    简单说就是四个字： 水太深了~   

只是目前我们发布的Panabit软件完全是面向用户免费使用的，所以商业化的这些东西还不曾考虑。

并且可以说明的是：Panabit在流量控制、特别是P2P协议识别领域已经有将近三年的积累：从04年下半年，BT在国内刚刚开始崭露头角的时候，我们已经开始关注并于05年初就完成了第一个版本的开发测试，这在国内绝对是属于P2P领域内第一批识别控制类软件。 由于以往工作的关系，电信和网通的测试案例就不说了，网站上我们也放了网通和电信的两个测试案例的简单说明。

对于铁通： 河南铁通和北京铁通都曾主动找过我们，当时这两个地方的P2P流量都达到了90%；特别是当时的北京铁通，POCO流量占据绝对的比例，由于当时软件性能和技术以外的一些原因，最终没完成测试。  05年夏天，我们也在辽宁铁通的两个地市节点做了实际的测试，一个是某高校出口的百兆链路；另一个是某市城域网出口GE链路，日平均流量单向大于700M。 后续的将近两年的时间里，在其他行业如政府机关、北京市某高校、某电厂及其他几个中小企业都做了后续版本的测试，效果和反响都不错，也有了几个实际的案例。经过这两年多的技术积累与研发更新，目前Panabit已经具备一个稳定的集开发、测试、网站、推广宣传的合作团队，Panabit软件的功能、性能也比以前大幅提高，已经基本上做到了与P2P应用技术发展保持同步，对主流的P2P软件客户端也可以做到快速的更新支持。特别地，我们已经不再局限于P2P这一块，目前我们已经将识别的协议范围扩大到包括：常用协议、P2P下载类协议、网络电视协议、即时通讯协议、网络电话、网络游戏、股票软件....  一步步做专做精，最终把Panabit做成国内最专业的协议分析控制引擎！

对于Panabit软件来说：Allot、Packeteer、Cisco SCE及国内的少数几个厂家产品肯定是我们的标杆和赶超目标，我们一定会勤勉努力、直至成功！

Panabit非常需要和欢迎向您这样的专业用户的支持和建议，请继续保持对我们的关注和建议，谢谢！

moremore2

有的地方铁通用华为的“一道门”来限P2P，效果不太好。
其实可以根据P2P协议的流量特征来对其进行限制，根本不经过协议分析。比如通过netflow分析用户IP连接的节点数目，上下行流量的特征，会话数的变化，P2P跟其他C/S结构协议都不太一样。由于工作在第四层，绕过了七层的协议分析，性能会比较强，而且可以防未知的P2P协议。

panabit

原帖由 moremore2 于 2007-6-28 13:47 发表
有的地方铁通用华为的“一道门”来限P2P，效果不太好。
其实可以根据P2P协议的流量特征来对其进行限制，根本不经过协议分析。比如通过netflow分析用户IP连接的节点数目，上下行流量的特征，会话数的变化，P2P跟 ...

理论上成立，但是实际操作起来比较困难，容易误杀和错杀。
另外，有很多P2P所占流量不大，而且是重要的数据，采取这种方式就会“不分青红皂白”。

ihweb

huweimail 一针见血。

moremore2

确实有误伤的可能。关键是取得一些合理的阀值，能够有效隔离大部分正常流量和P2P流量。
但是运营商的核心网强调的是可靠性（一般是依靠冗余来实现的）和性能，通常设备是工作在下几层，只管转发和传输的。按panabit的部署模式，在靠近核心设备的地方放置哪怕是千兆线速的协议分析网桥也是不可取的。最好还是部署在汇聚层或接入层，可是数量多的话又引入了管理、配置的复杂性。

panabit

原帖由 moremore2 于 2007-6-28 15:26 发表
确实有误伤的可能。关键是取得一些合理的阀值，能够有效隔离大部分正常流量和P2P流量。
但是运营商的核心网强调的是可靠性（一般是依靠冗余来实现的）和性能，通常设备是工作在下几层，只管转发和传输的。按pa ...

像这样的设备，运营商一般都不会将其部署到离核心特别近的地方，因为这样的设备要保存很多状态，离核心越近，
所需要的状态表越大，这个就越不安全和可靠。

moremore2

现在是每个运营商都有成本考核的压力，即使是中国电信也承受不了60%的流量是P2P流量，本身对电信而言产生不了效益，即使扩容也跟不上流量增长的步伐。对P2P限制可以说势在必行。
panabit的软件我觉得很好，但是象我上面说的，还要研究如何部署，另一个问题就是新出现的P2P软件怎么办？！
所以我说从P2P流量特征来限制也是一个办法，虽然不分青红皂白，但是照顾了大多数用户的公平。而对于运营商或者说服务企业，不可能让每个人都满意的，如果用户一开bt就是2000个甚至5000个以上的连接，那还是劝这种用户转网去祸害其他运营商比较好一点。现在已经有这种案例发生了。
panabit可以考虑把这种方式作为终极手段来对付P2P。