Panabit核心代号“唐r6”版本发布
一、新增功能1、 WAN线路支持IPv61.1、PPPoE WAN支持IPv6对比PPPoE IPv4的协议交互过程,PPPoE IPv6如下示意图所示,区别主要在地址分配阶段增加IPv6相关。配置方法:【网络管理】>>【LAN/WAN】>>【WAN线路】中创建【线路类型】为【PPPoE】线路时,同时将【IPv6】选项置为【开启】即可。 注意:本文中提到的所有IPv6相关的功能,均需要打开【应用识别】>>【引擎参数】>>【参数设置】>>【IPv6流量识别】。1.2、DHCPv6 WANDHCPv6(Dynamic Host Configuration Protocolfor IPv6)是基于UDP(客户端端口号546,服务端端口号547)协议用于分配IPv6地址、前缀以及DNS等配置的网络协议。常见主要有以下几种类型:
[*]Solicit,客户端用于发现DHCPv6服务器的位置。
[*]Advertise,服务器对Solicit报文进行回应,通告客户端能提供的服务。
[*]Request,客户端向服务端请求IPv6地址和其他配置信息。
[*]Reply,服务器回应客户端的Request、Renew、Information-Request等与IPv6地址、DNS、网络配置相关的报文。
对于无状态地址自动配置SLAAC(StatelessAddress Auto Configuration)使用ICMPv6中的RS(Router Solicitation,客户端请求发现网关路由器)和RA(Router Advertisement,网关路由器定时发送或响应请求)以获取得到IPv6网络前缀和DNS信息等,最终实现地址分配。部分情况下,也会出现使用SLAAC无状态获取IPv6地址,同时使用DHCPv6 Information-Request获取DNS等其他网络配置的情况。说明:对于可能的DHCPv6 WAN的情况,包括如SLAAC均已统一配置支持。配置方法:【网络管理】>>【LAN/WAN】>>【WAN线路】中添加【IPv6】分项下的【DHCP】
2、LAN线路支持DHCPv6PDDHCPv6 PD(PrefixDelegation,前缀代理)是一种前缀分配机制。通过DHCPv6前缀代理机制,下游网络设备不需要再手工指定用户侧链路的IPv6地址前缀,只需要向上游网关路由器设备提出前缀分配请求,上游网关路由器设备便可以分配合适的地址前缀给下游设备。下游设备把获得的前缀(同时也可以将前缀进行进一步的细分)再通过ICMPv6的RA路由通告至与IPv6用户主机相连的链路上,实现用户侧IPv6主机的地址自动分配。以此,实现能够统一规划管理的层次化网络结构。使用前缀代理功能之后,在LAN线路进行SLAAC分配时,无需配置LAN线路的网络前缀,将会使用代理委派的WAN线路上获取到的网络前缀进行SLAAC分配。配置方法:【网络管理】>>【LAN/WAN】>>【LAN线路】中点击已经添加好的V6 LAN线路名称,在弹出界面中配置【无状态地址分配】,委派线路选择对应的V6线路即可。
3、 动态IPv6 NAT在IPv6网络中,每个设备都被分配了一个全局唯一的IPv6地址,IPv6 NAT通过将内部设备的IPv6地址映射到另一组IPv6地址,使得内部设备可以访问外部网络,同时保护内部网络的真实IPv6地址不被外部直接暴露。对于NAT66,在过往版本中只支持静态NAT66,根据配置的地址前缀进行替IPv6地址的替换,通常用于对转换后的地址敏感或者有要求的场景。策略路由作为Panabit智能应用网关的独特特色,现已支持IPv6的动态NAT66,并沿用IPv4策略路由的使用习惯,满足如IPv6路由和管控、IPv6负载均衡等各种IPv6场景应用。配置方法:在【网络管理】>>【策略路由】>>【IPv6】中添加策略。策略中执行动作选择【NAT】,NAT线路为对应的IPv6出口。SNAT地址池支持单IP、IP网段、IP范围,多个条件之间用英文逗号“,”连接。
4、 SD-WAN支持IPv6Panabit SD-WAN以优秀的应用识别、应用分流、自研高效传输隧道协议等为基础打造,可提供高效的虚拟专网传输、业务应用加速、应用时延检测与故障定位等服务能力。 随着IPv6的高速发展,作为SD-WAN重要组成部分的隧道传输,增加IPv6线路承载支持,在自研协议本身高性能的设计前提下,可提供线速带宽的高性能隧道,支持在隧道内传输IPv6或者IPv4的业务流量,充分提高IPv6出口线路的带宽利用率。
Panabit隧道专线IPSecL2TP
建设成本适中高适中低
安全性端到端端到端较高较低
连接速度快快较慢较慢
传输效率高高较低较低
配置方法:① 服务端【虚拟专网】>>【iWAN服务】>>【服务映射】中可以选择静态、DHCP、PPPOE类型的V6线路作为iWAN服务的映射线路。 ② 客户端【网络管理】>>【LAN/WAN】>>【WAN线路】中添加类型为【iWAN】的线路,并将选项【IPv6】置为【开启】。其中,承载线路可以为静态、DHCP、PPPOE类型的V6线路。
5、 IPv6 链路质量检测随着Panabit支持IPv6的越来越全面,包括IPv6接入、IPv6路由和管控、IPv6负载均衡、IPv6转IPv4、IPv4转IPv6、静态NAT66、动态NAT66、IPv6 SD-WAN等功能的陆续发布,IPv6线路的链路质量检测便显得尤为重要。因此,增加IPv6 Ping监测,检测IPv6的时延、丢包等链路质量,并支持以检测结果为条件,当链路质量降低时进行告警。配置方法:【系统维护】>>【系统检测】>>【Ping监测】 6、TOP域名在典型如CDN数据中心、业务系统服务区、企业出口监测等场景下,通常会需要查看实时的域名访问情况,以此作为访问根据来协助分析和判断解决业务流量异常的原因。新增TOP域名功能,从DNS解析维度和http/https访问维度对域名访问进行展示。每个维度包含:失败的会话数、应用时延优、良、中和差的会话数,总的时延数。其中,优、良、中、差评价根据时延大小进行判断,同时支持自定义。查看示例:【系统概况】>>【TOP域名】 参数说明:【系统概况】>>【TOP域名】>>【参数设置】 各参数说明如下:
[*]监测:启用或禁用此功能
[*]域名TTL:单位秒,超过周期未有访问的记录将会删除,默认600秒
[*]DNS延时标准:单位毫秒,可自定义优、良、中、差四个级别的判断标准
[*]应用延时标准:单位毫秒,可自定义优、良、中、差四个级别的判断标准
[*]标准色设置:可自定义四个级别的展示颜色
注意:TOP域名模块需要NPM模块的启用支持,当禁用此功能时,若NPM功能之前处于使用中,建议确认NPM处于启用状态。
7、BGP支持BGP(Border GatewayProtocol,边界网关协议)是一种用于自治系统AS(AutonomousSystem)之间的动态路由协议。作为互联网外部路由协议标准,被广泛应用于ISP(Internet Service Provider)之间。
[*]与OSPF等,内部网关协议不同,设计着眼于外部网关或域间之间选择最佳路由和控制路由的传播。
[*]BGP建立连接的两端(Peer,对等体)之间必须逻辑上连通,目的端口号179,本地端口任意。
[*]由于AS之间传递数据,对稳定性要求高,BGP使用TCP作为传输层协议,提高协议的可靠性。
[*]路由更新时,BGP只发送更新的路由,大大减少传播路由所占用的带宽。
[*]是一种距离矢量(Distance Vector)路由协议。
[*]EBGP(运行于不同AS之间的BGP),AS之间通过携带AS路径信息来标记途径的AS,带有本地AS号的路由将被丢弃,避免域间产生环路。
[*]IBGP(运行于同一AS内部的BGP),AS内学到的路由不再通告给AS内的BGP邻居,避免AS内产生环路。
配置示例:目标拓扑 使用三台设备(A,B,C)搭建BGP网络,其中
[*]实例中,设备B为Panabit,设备A和C为其他厂家设备
[*]设备A和Panabit设备B建立EBGP
[*]设备C和Panabit设备B建立IBGP
[*]设备A属于自治系统AS200,Panabit设备B和设备C属于自治系统AS100
配置方法:Panabit BGP总体配置分为两个主要部分:BGP物理接口和邻居配置、路由规则转发。具体步骤如下:① 配置物理接口信息图中示例中使用LAN线路做互联,建立对应的网络线路。【网络管理】>>【LAN/WAN】② 安装【动态路由】APP【系统概况】>>【应用商店】>>【动态路由】进行安装,或进入Panabit官方网站【支持与服务】>>【下载中心】>>【APP】中进行下载后手动安装。下载中心链接:https://www.panabit.com/download ③ 添加Panabit设备B中的BGP邻居打开APP【动态路由】>>【概况】>>【全局配置】>>【AS号】,填写对应的AS信息,并将【BGP】选项置于【开启】状态。开启之后,【动态路由】>>【BGP】>>【添加邻居】如示例拓扑图所示,即需要对应地添加两条。④ 查看邻居建立状态【终端】输入【show protocol】查看。BGP有六种状态,说明如下表所示。
状态说明
Idle开始准备TCP连接并监听远程对等体
Connect正在进行TCP连接,等待完成中,认证都是在TCP建立期间完成。如果建立失败则进入Active,成功则发送Open报文
Active此状态下,BGP总是试图建立TCP链接
OpenSentTCP连接建立成功,发送Open报文,携带参数协商对等体的建立
OpenConfirm参数、能力特性协商成功,自己发送Keep alive报文,等待对方的Keep alive报文
Established已经收到对方的Keep alive报文,双方能力特性经协商一致,开始使用Update通告路由信息
⑤ 策略路由【网络管理】>>【IPv4路由/NAT】添加策略路由,执行动作选择路由,路由线路选择【动态路由选路】。符合策略条件的流量将根据BGP生成的路由表进行转发,无法命中路由表时,将会继续按照策略路由进行转发。效果验证:① Panabit BGP路由表【动态路由】>>【概况】>>【动态路由表】中查看自动生成的动态路由表。在Panabit设备B上,可以同步设备A和设备C更新发布的BGP路由信息。 ② 连通性两台PC互相可以ping通,查看Panabit设备B上连接信息数据正常。 8、 SNMP增加OID8.1、主备状态新增自定义节点【hasync-status】用以表征当前设备的【主备服务】工作状态。
OID返回值说明
.1.3.6.1.4.1.58819.7.1.1hasync-status
.1.3.6.1.4.1.58819.7.2.10或10:主机1:备机
8.2、版本信息新增自定义节点【panabit-version】用以提供查询设备所使用的Panabit软件版本信息。
OID返回值说明
.1.3.6.1.4.1.58819.8.1.1panabit-version
.1.3.6.1.4.1.58819.8.2.1版本号字符串获取示例如:TANG(大唐)r6 2024-04-18 16:12:25
注意:Panabit使用GB2312进行中文编码,版本信息中包含中文信息,请注意获取工具使用对应的编码格式,避免显示乱码。
9、新硬件支持9.1、PX-7C基础规格:
型号PX-7C
基本描述基于国产CPU和网卡打造的万兆可扩展硬件平台
外观
CPU4核国产CPU
内存4G DDR4
存储8G mSATA
网络接口8 * 千兆电;2 * 万兆光(国产网卡,可扩展)
性能参考:
连接数报文长度流入速率流出速率流入PPS流出PPS
300644.98G4.98G1037W1037W
30025614.21G14.21G705W705W
30051224.25G24.25G597W597W
300102429.4G29.4G360W360W
300150029.62G29.62G247W247W
9.2、PX-3C基础规格:
型号PX-3C
基本描述基于国产CPU和网卡打造的千兆硬件平台
外观
CPU4核国产CPU
内存4G DDR4
存储32G mSATA
网络接口6 * 千兆电;2 * 千兆光
性能参考:
连接数报文长度流入速率流出速率流入PPS流出PPS
30064573.66M561.76M117W117W
3002562.28G2.27G116W116W
3005124G4G98W98W
30010244.49G4.49G5555W
30015004.52G4.52G38W38W
说明:PX-3C测试数据只使用4电、2光的接口完成,闲置1个电口。同时以上性能参考数据为使用Panabit内置流量测试工具floweye if sendpkt完成,该工具也曾由第三方检测公司完成与常见网络测试仪的数据一致性测试。
二、功能优化1、 V6转V4日志在IPv6建设过程中,不可避免依然需要IPv4的服务器对外提供服务,当外网用户使用IPv6访问服务时,便会使用到IPv6到IPv4转换的功能。为了能够对用户的访问日志进行记录,以便后续的追溯。在外网使用IPv6线路访问内网的IPv4服务时,优化日志内容记录内容,源IP记录外网用户的IPv6地址,便可以实现真实访问记录的日志溯源。PanaLog查看示例 说明:PanaLog当前版本已支持,无需额外升级。
2、 DNS重定向性能提升以全新的实现方式实现DNS重定向(牵引)功能,提升DNS重定向性能的同时,降低内存的消耗,并且不消耗NAT的连接数。由此,提供一些全新的CLI命令参数
命令说明
floweye dnsdr config ttl=N设置DNS请求最大保留时间(秒),该时间内未收到DNS响应,则认定为超时
floweye dnsdr traceip=x.x.x.x设置某个内网IP的DNS重定向执行过程情况,使用floweye dmesg list输出查看
3、 MAC记忆用户量提升MAC记忆用于在跨三层网络使用Portal认证的场景中完成用户无感知认证的效果,默认支持用户量为16K。在大型会议等用户量特别巨大的场景下,不 一定足够。因此,在Panabit配置文件【/etc/PG.conf】中增加【WAMAC_POOLSZ】参数,用于指定MAC记忆最大可支持的MAC数量。
参数说明
WAMAC_POOLSZ=numbernumber为10进制数值,最大记忆MAC数量,默认为16384
WAMAC_BKUPFILE=file pathfile path为MAC对象备份文件存储的绝对路径,默认为/usr/ramdisk/tmp/wamac.txt
注意: /etc/PG.conf为PanaOS系统配置文件,修订后需重启PanaOS生效。
4、 TCP会话DSCP标签DSCP(DifferentiatedServices Code Point,差异化服务代码点)是IP数据包头部的一个字段,用于定义数据包的服务质量(QoS)级别和优先级,对流量进行分类和标记,由此,网络转发设备可以区分类型的流量,并提供差异化的网络转发服务(简单示例如:语音应用标记优先级高,网络设备优先转发,降低应用的服务响应时延)。这种分类使得设备能够更好地管理流量,并确保关键或高优先级的数据能够在网络中以最小的延迟和丢包率传输。在部分网络设备实现NAT功能时,会根据DSCP的不同而出现差异,因此,在使用Panabit对应用流量打上相应的标签时,需要确保会话的一致性。过往版本中,DSCP标签在流量控制策略中基于数据包实现,无法确保会话一致性。优化TCP会话修改DSCP标签的逻辑,针对客户端到服务端的发起方向,将确保同一会话数据包均有一致的标签。
5、 IPSec支持PFSPFS(Perfect Forward Secrecy,完善的前向安全性)是IPSec的一种安全特性,一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥之间没有派生关系。作为IPsec的可选协商,PFS通过在IPSec的阶段2中SA协商阶段重新进行一个DH交换来实现。IPSec SA的密钥从IKE SA的密钥导出,由于一个IKE SA协商生成一对或多对IPSec SA,当IKE密钥被窃取后,攻击者可能收集足够多的信息来导出IPSec SA密钥,PFS通过一次额外的DH交换,以此来保证IPSecSA密钥的安全。配置方法:【虚拟专网】>>【IPSEC】添加IPSEC线路时,在【IPSEC ESP策略】中可以选择指定【PF组】,默认【不指定】。 说明:通常PFS不需要指定,若是指定,请确认两端配置组的一致性。
6、 DPI引擎当前一些浏览器(如:Chrome等)新版本使用了TLS新的特性,在访问TLS资源时,增加了Key share参数,该参数通常比较大(典型的通常超过1000字节),由此,导致SNI(Server Name Indication,服务器名称指示)出现在第二个报文。改进DPI引擎以兼容TLS新特性。
三、界面优化1、管理接口IPv6【系统维护】>>【系统设置】>>【管理接口】配置IPv6地址和前缀。
2、组织架构【对象管理】>>【账号管理】>>【组织架构】优化呈现。
3、 版本检查【系统维护】>>【系统升级】>>【更新检查】,可定时检查是否有新版本,并通过【系统通知】的方式进行通知,默认均处于【关闭】状态。
四、BUG修复
一级分类二级分类模块修复
系统概况 在线用户 IP档案解决IPv6会话信息无法查看策略路由ID的问题
解决创建对象时可能导致崩溃的问题
解决未在伪IP防护合法列表中的IP被创建对象的问题
虚拟链路虚拟链路解决新增虚拟链路指定网卡不生效的问题
TOP应用协议档案解决协议档案浏览器兼容性显示异常的问题
虚拟专网IPSec服务端解决IPSec服务端使用变长子网掩码作为兴趣流时协商失败的问题
行为管理流量统计对象状态解决流量统计未兼容IPv6的问题
网络管理 LAN/WAN WAN线路解决批量添加WAN线路满之后,界面卡死的问题
解决GREWAN、IPSec WAN保存信息时索引参数缺失的问题
IPv4路由/NAT策略路由解决NAT设置中线路选择动态路由之后,无法修改为其他线路的问题
IPv4路由/NATNAT解决NAT模块可能引起的挂死问题
端口映射IPv6/IPv4转换解决IPv6到IPv4转换中,VLAN不正确的问题
对象管理账号管理本地账号解决本地账号导入导出异常的问题
应用识别自定义协议域名关联解决自定义协议,关联域名时,没有自动绑定自定义协议的问题
无线ACSSID管理SSID解决无线AC设置SSID密码长度异常的问题
系统告警告警策略告警解决告警策略条件配置异常的问题
系统维护系统检测Ping监测解决Ping监测丢包率统计错误的问题
五、应用识别 1、新增应用
一级分类二级分类三级分类应用
移动应用手机应用 得物
墨迹天气
高德地图
个人所得税
交管12123
中国移动
国家医保平台
全能扫描王
网上国网
中国联通
文心一言
顺丰
唯品会
转转
平安好车主
懂车帝
七猫小说
豆包
必胜客
麦当劳
肯德基
新浪新闻
网易新闻
腾讯新闻
百度地图
腾讯地图
车信盟
白山云
应用下载 OPPO应用商店
VIVO应用商店
应用宝
荣耀应用商店
HTTP协议在线教育 大学搜题酱
宝宝树
贝瓦儿歌
金山词霸
知网
百词斩
雨课堂
百度文库
高途
虎课网
宝宝巴士
WEB视频直播秀我秀网
微信直播
快直播
剪映
韩剧TV
韩小圈
微信视频号
美图秀秀
网易LOFTER
IP查询显示 百度IP查询
站长之家
360IP查询
900查
宽带测速 QQ管家测速
花瓣测速
泰尔网测
全球网测
云服务 坚果云
蓝奏云
Amazonphotos
常用协议旅游出行 艺龙
途牛
驴妈妈
马蜂窝
同城旅游
去哪儿
中国国航
花小猪打车
滴答出行
哈啰单车
滴滴出行
携程
游戏维护 雷电模拟器
夜神模拟器
mumu模拟器
逍遥模拟器
荣耀手机系统更新
网络安全 小火煎
工控物联网 华为摄像头
网络游戏移动游戏 重返未来
山海镜花
明日方舟
暗区突围
战斗法则
星球重启
米哈游游戏
未定事件簿
腾讯游戏 王者营地
全民街篮
STEAM游戏 幻兽帕鲁
商业系统 WPS上传
WPS下载
亿联会议
社交即时通讯 Zalo
流媒体 唱吧
2、更新应用
一级分类二级分类三级分类应用
HTTP协议WEB视频直播秀斗鱼
虎牙直播
头条小视频抖音直播
抖音
优酷系列优酷移动
萤石云视频
爆米花
天翼资讯
剧圈圈
CCTV点播
快手
Naver
快手的直播伴侣
HTTP下载豌豆荚豌豆荚
网易网盘客户端版
网易网盘网页版
WEB音乐 网易云音乐
网页游戏 梦幻大陆
WebMail 189邮箱
常用网站 赶集网
腾讯视频 腾讯视频
常用协议终端控制 向日葵
Todesk
Gotohttp
XT800
灰鸽子
游戏加速 腾讯网游加速
UU加速
UU加速器
虚拟货币
CAPWAP
网络游戏盛大网络 泡泡堂
彩虹岛
腾讯游戏英雄联盟英雄联盟游戏
逆战
STEAM游戏 GTA5
其他游戏对战平台UP对战平台
暴雪出品 守望先锋
移动游戏 崩坏
网易游戏 永劫无间
P2P下载 人人影视
酷狗
网络电视QQ影音 QQ音乐
流媒体 唱鸭
商业系统 Office365
3、删除应用无
六、下载地址
标准版:
Linux:
FreeBSD:
专业版:
Linux:
FreeBSD:
ARM:
网吧版:
Linux:
FreeBSD:
ARM:
SMB版:
Linux:
FreeBSD:
流媒体:
Linux(x86):
ARM:
升级后,速度很慢了,。能不能退下r5 ywp1984916 发表于 2024-6-11 09:13
升级后,速度很慢了,。能不能退下r5
估计升级后节点跟踪清空,做的应用相关的策略和原来出现差异过一段时间记录节点多了就好了,可以降级。
页:
[1]