Panabit 腾讯云/华为云/阿里云安装配置指南
1. 产品简介Panabit智能应用网关是专门为政府、企业、教育、运营商、医疗、金融等行业提供高性能、高可用性、功能丰富的出口一体化智能应用网关。目前设备最高处理性能为单向100Gbps,适用于同时在线80万人的网络场景。能够满足用户对网络接入、管控、优化和审计的全方位需求,赋予用户细粒度的可视、可控的网络管理能力,同时又能够提供高性能防火墙、上网认证、上网行为管理、流量控制、智能链路负载均衡和网络大数据等其他增值服务。2. 应用场景Panabit智能应用网关功能集成化高,一台设备即可满足应用路由、负载均衡、智能DNS、NAT、认证、DHCP、HTTP访问控制、MAC绑定、DDNS、配置同步、权限分级、管理日志、系统警告等需求。主要应用包括但不限于以下场景:
2.1. 流量管控场景Panabit智能应用网关支持对流量的应用分类,能做到精准识别、准确评估和实时控制,实现各类网络尤其是复杂网络情况下的流量控制目标,赋予用户细粒度的可视、可控的网络管理能力。Panabit还可为TAP分流器,通过对流量整合、多镜像输入、应用级精细化分流,并与其他安全分析设备配合,极大缓解核心交换机的镜像压力。同其他TAP分流器不同的是,Panabit工作在应用层,能够基于应用做流量的按需分流或复制。
2.2. 链路负载优化场景Panabit智能应用网关支持新一代应用级负载均衡,除了传统网络层的负载均衡外,还可以实现基于应用层协议、基于域名、基于服务器等下一代负载均衡。可实现kb级的应用切片以及应用分流,达到流量调优效果,在降低链路成本的同时,保障关键业务。
2.3. SD-WANPanabit SD-WAN解决了客户多分支互联、业务卡顿、组网困难、故障定位不准确的问题。不仅能够为多分支机构提供快速、灵活、低成本的广域网接入方案,还可以带来高性能且与实际业务更加贴合的安全组网体验,为实现数字化转型提供强劲助力。
2.4. 实名认证场景Panabit智能应用网关支持上网接入认证,包括不限于:本地认证、短信认证、微信认证、PPPoE认证,并支持结合AD域和LDAP等多种认证方式,将互联网行为与真实人员关联,便于定位互联网行为的主体。Panabit智能应用网关还能自定义配置认证页面,自定义认证的黑白名单对象,过滤非法匿名用户,放行合法用户。
2.5. 网络合规审计场景基于精准的应用识别,Panabit智能应用网关提供超越传统4层设备的(包含7层信息)1:1 全量日志,在当前相关部门对于敏感应用事件逐渐提高关注度的背景下,配合 Panalog日志,Panabit智能应用网关能够满足151号令,为用户提供全面记录、了解、分析以及掌握网络细节和趋势的能力。
3. Panabit腾讯云配置
3.1. 前置条件与约束前提条件1,完成虚拟化环境的注册和安装。2,完成Panabit许可的购买,标准版(免费版)除外。3,使用网关模式部署。4,需要配置64位的操作系统。注意事项配置此功能时可能造成业务中断,请在业务较少的夜间或周末进行配置。
3.2. 虚拟化配置及性能要求
系统名称处理性能(吞吐)虚拟化配置操作系统
Panabit云网关500MbpsCPU:4核心 内存:16G内存存储:4GBCentOS7.9
1GbpsCPU:8核心 内存:16G内存存储:4GBCentOS7.9
4GbpsCPU:14核心 内存:32G内存存储:4GBCentOS7.9
3.3.配置流程
序号步骤项备注
1配置腾讯云环境已有云服务器可跳过此步骤
2安装Panabit
3Panabit上线配置
4iWAN对接
3.4. 配置步骤
3.4.1. 配置腾讯云环境操作步骤步骤1 在腾讯云官网上(https://cloud.tencent.com/)购买服务器后,根据安装配置向导完成部署。(镜像选择Centos7.6 64位)步骤2 选择【控制台】>【云服务器】。步骤3 单击【实例】,登录虚拟机,选择公网IP登录。步骤4 进入到配置界面,则表示安装成功。
3.4.2.安装Panabit操作步骤步骤1 记录下网卡的IP(ifconfig)和网关(netstat -rn),步骤4需使用。步骤2 在Panabit官网(https://www.panabit.com/download)下载安装包,下载时选择对应架构的Linux版本。步骤3 下载完成后将安装包上传(rz)至云服务器,然后解压(tar -zxf),再运行安装程序(./ipeinstall)。当看到“Please choose one ofabove as your admin interface: ”时,表示安装成功。步骤4配置管理口IP和业务口。管理口选择eth0,IP和网关与Linux机复用,业务口选择eth0(因为这该主机只分配了一个公网IP,实际配置下根基公网分配的情况去选择,就不建议选eth0)。步骤5 开启Panabit,输入 "/usr/panabit/bin/ipectrlstart"开启进程(可输入"/usr/panabit/bin/ipectrlstop"结束进程),首次配置需重启(reboot),重启后便可使用Panbit。
3.4.3.Panabit上线配置操作步骤步骤1 在浏览器用https访问公网IP,即可打卡Panabit的web控制界面。 步骤2 单击【网卡设备】,将eth0的方向设置为【接外】,然后【确定】下发。步骤3 点击【LAN/WAN】>【添加】,添加wan线路。名称wan(可自拟),网卡为eth0,ip和网关复用linux-eth0,克隆MAC为eth0网卡MAC。步骤4 单击【IPV4路由/NAT】>【添加】,添加策略路由,策略序号表示优先级,NAT线路选择步骤3创建的wan线路。结果验证单击【LAN/WAN】将鼠标移动到“WAN”点击【查看状态】,然后点击ping。由于腾讯云的内网网关是禁ping的,所以要将目标ip换为公网服务器IP(如百度服务器IP)。然后点击【开始】,能正常ping通,表示网络连通性正常。
3.4.4.iWAN配置步骤1 单击【对象管理】>【账号管理】,添加一个组织架构,并配置地址范围DNS,让iWAN客户端使用。步骤2 点击【账号管理】>【本地账号】,添加一个本地账号,配置账号密码、有限期等。步骤3 点击【虚拟专网】>【iWAN服务】,添加一个服务列表,配置服务器名称和网关。步骤4 单击【iWAN服务】>【服务映射】,配置一个端口并映射到承载wan线路。 结果验证在Panabit-iWAN客户端设备上,单击【虚拟专网】>【iWAN客户端】,配置iWAN客户端,输入服务器IP和正确的账号密码后即可连接成功。拨号成功后iWAN-服务端效果展示:拨号成功后iWAN-客户端效果展示:
3.5.配置命令
序号命名说明
1ifconfig查看网卡及
2netstat -rn查看路由表
3rz上传文件
4tar -zxf解压文件
5/usr/panabit/bin/ipectrl start开启panabit进程
6/usr/panabit/bin/ipectrl stop结束pananbit进程
3.6.FAQ
3.6.1.如果腾讯云只申请了一个公网ip,PA管理口与业务口地址如何分配?答:如果腾讯云只申请了一个公网ip,那么安装Panabit的时候管理口和业务口需要共用一个接口IP。
3.6.2.为什么iWAN配置下发后,不能拨号连接成功?为什么iWAN连接成功后,总部和分部的流量还是不互通?答:iWAN连接不成功问题排查:1)cs两端的承载线路是否能正常ping通;2)客户端服务器IP是否是服务端的承载线路IP,如果网络中间有NAT策略,IP应作适当修改。3)腾讯云上的有关端口是否做了放通策略。4)iWAN服务端的用户地址池是否还有地址分配,最大连接数是否超过上线。iWAN连接成功后,流量不通:cs两端是否做了策略路由,将对应的流量引入iWAN隧道。
4. Panabit华为云配置
4.1. 前置条件与约束前提条件已完成对华为云服务器的注册和购买注意事项本教程选用2核(vCPU)4G内存,环境为CentOS7.9版本,Linux内核版本太高可能导致安装失败。
4.2. 虚拟化配置及性能说明
系统名称处理性能(吞吐)虚拟化配置操作系统
Panabit 云网关500MbpsCPU:4核心 内存:16G内存存储:4GBCentOS 7.6CentOS 7.9
1 GbpsCPU:8核心 内存:16G内存存储:4GBCentOS 7.6CentOS 7.9
4GbpsCPU:14核心内存:32G内存存储:4GBCentOS 7.6ssssCentOS 7.9
4.3. 配置流程
序号步骤项备注
1华为云环境准备与连接已有云服务器可跳过此步骤
2华为云Panabit快速安装快速安装成勋安装
3华为云Panabit配置与调试Panabit上线基本功能可用
4SD-WAN配置Iwan隧道对接
4.4. 配置步骤
4.4.1.华为云环境准备与连接正确的在阿里云上安装CentOS镜像,并能正常连接到服务器操作步骤步骤1 华为云环境准备。1. 本教程选用2核(vCPU)4G内存,环境为CentOS7.9版本。2. 环境配置选好之后,进入实例,勾选华为云分配的实例,点击【远程连接】。3. 通过CloudShell登录,,忘记密码时,可通过重置密码进行修改。
4. 配置安全组1) 设置入方向规则。2) 设置出方向规则。
4.4.2.华为云Panabit快速安装使用自动安装包进行安装Panabit,工具包如下:install_panabit (kdocs.cn)操作步骤步骤1 将上述的自动安装包下载到桌面的指定位置步骤2 双击安装程序,填写服务器IP、服务器密码、网卡名字(一般为eth0)按提示在云服务器后台输入/usr/panabit/bin/ipectrlstart。1. 双击安装程序,GUI.exe2. 填写服务器IP、服务器密码、网卡名字。3. 华为云服务器后台执行/usr/panabit/bin/ipectrlstart。4. 本地访问https://华为云服务器公网IP,如果访问不了,可能是该Panabit版TLS协议版本较低,需要在QQ浏览器中打开web管理页面,这个时候如果无法打开,可能是阿里云服务器把443端口禁止掉了,需要在安全组中配置443端口的白名单;登录成功界面如下:
4.4.3.华为云Panabit配置与调试导入授权之后,升级到官网最新版本。操作步骤步骤1 登录华为云服务器后台通过ifconfig、netstat -rn查看IP及网关。步骤2 配置网卡。步骤3 添加wan线路,需要填写的内容有:1. 填写线路名称2. 线路类型选择为静态IPv43. 选择网卡4. 填写IP5. 选择正常网关6. 填写克隆mac地址7. 上述操作完成后,点击确定保存步骤4 验证线路状态,Ping检测工具ping223.5.5.5测试连通性。
4.4.4.SD-WAN配置步骤1 iWAN地址池创建。1. 【对象管理】>【账号管理】>【组织架构】,点击添加,选择上级节点,名称和地址范围,点击确认保存。2. 【本地账号】,选择“1”创建的用户组,设置账号名和密码,添加开通日期和截至日期,点击确定,地址池就创建完毕。步骤2 创建iWAN服务器。1. 【虚拟专网】>【iWAN服务】>【服务列表】,点击添加,填写服务器名称、服务网关名称,设置MTU修改为1420,地址池选择上个步骤中创建好地址池,点击确定保存;2. 再进入服务映射,选择映射线路为步骤1中创建的wan线路,填写映射端口,选择服务列表中的添加好的服务,点击添加。添加之后,iwan服务已创建完成。步骤3 添加默认路由。【网络管理】>【路由策略】添加一条策略,填写策略序号,执行动作为NAT,选择NAT线路;此步骤为分支需要通过华为云PA上网配置;步骤4 验证iwan服务,iwan客户端拨号验证,添加iWAN客户端。1. 在【虚拟专网】>【iWAN客户端】,点击添加,输入名称,选择一个承载的WAN线路。2. 填写iWAN参数:服务器IP/域名,需要填写服务端的iWAN承载线路的IP,这里为云服务器公网的IP,服务器端口填写服务端上服务映射中设置好的映射端口。3. 填写iWAN的账号密码。4. 展开高级,修改MTU和服务端一致,为1420。5. 完成上述设置后,点击确定保存,iWAN客户端就创建完成了。6. 成功连接界面如下,可以在客户端上查看流入流出速率、连接数、连接时间。7. 在云端iWAN服务端也可以查看到在线的iWAN客户端详情。
4.5. FAQ
4.5.1. 重启之后连不上SSH的方法华为云服务器ssh连接问题_华为云ssh连不上-CSDN博客:https://blog.csdn.net/weixin_40143280/article/details/89398304
4.5.2.安装成功之后进不去web界面1. Panabit版TLS协议版本较低,需要在QQ浏览器中打开web管理页面2. 重启httpd进程,命令:/usr/system/bin/ipectrl stop httpd(停止)/usr/system/bin/ipectrlstart httpd(启用)3. 重启云服务(重要业务切勿随意操作)
5. Panabit阿里云配置
5.1. 前置条件与约束前提条件已完成对阿里云服务器的注册和购买。注意事项本教程适用于单网卡云服务器的Panabit部署,三个以上网卡服务器的部署方法可以参考Linux上配置Panabit的教程。
5.2.虚拟化配置及性能说明
系统名称处理性能(吞吐)虚拟化配置操作系统
Panabit 云网关500MbpsCPU:4核心 ,内存:16G内存,存储:4GBCentOS 7.6CentOS 7.9
1 GbpsCPU:8核心 ,内存:16G内存,存储:4GBCentOS 7.6CentOS 7.9
4GbpsCPU:14核心 ,内存:32G内存,存储:4GBCentOS 7.6ssssCentOS 7.9
5.3.配置流程
序号步骤项备注
1阿里云环境准备与连接已有云服务器可跳过此步骤
2阿里云Panabit常规步骤安装常规安装
3阿里云Panabit快速安装脚本快速安装
4阿里云Panabit配置与调试Panabit上线基本功能可用
5SD-WAN配置使用派网自研iWAN隧道协议
5.4.配置步骤
5.4.1.阿里云环境准备与连接正确的在阿里云上安装CentOS镜像,并能正常连接到服务器操作步骤步骤1 阿里云环境准备。1. 本教程选用2核(vCPU)4G内存,环境为CentOS7.9版本。2. 环境配置选好之后,进入实例,勾选阿里云给你分配的实例,点击【远程连接】。
步骤2 连接到云上的CentOS。
在弹出的页面中,选择登录方式,默认为WorkBench远程连接,可以根据需求更换连接方式,点击展开其他登录方式,更换连接方式:1. WorkBench远程连接。1) 点击立即登录之后,进入到下面的界面,选择公网或私网连接,认证方式为密码认证。
2) 由于是第一次登录,未设置密码,点击右下角重置密码按钮进行,对密码进行设置,点击【在线重置密码】。3) 操作中点击file:///C:/Users/LIQING~1/AppData/Local/Temp/msohtmlclip1/01/clip_image013.jpg展开,可以对实例进行远程操作。
4) 密码修改完成后,点击登录远程实例,登录进来的页面如下,如果登录报错,请查看FAQ中的链接进行排查2. VNC登录。输入用户名和密码之后,直接登录到下面的界面。3. 使用SesureCRT、Xshell、PuTTY,远程终端工具进行SSH连接,以SesureCRT为例。1) 点击实例。2) 在配置信息中查看公网IP。3) 打开SesureCRT,新建一个会话。4) 协议选择SSH2。5) 输入主机名和用户名,SSH端口默认为22,点击下一步。6) 协议默认为SFTP,点击下一步。7) 按需要求修改会话名称,点击完成。8) 点击接受并保存。9) 输入密码登录,单击【确定】。
结果验证完成了上述的操作之后,可以正常连接配置在阿里云上的CentOS,阿里云环境准备工作就已经完成了,下面开始在阿里云环境下部署Panabit。
5.4.2. 阿里云Panabit常规步骤安装通过此操作,可以将Panabit部署到阿里云上。操作步骤步骤1 安装包获取。由于公有云只能配置单网卡,所以需要特殊的Panabit安装包,安装包链接如下:https://bbs.panabit.com/forum.php?mod=attachment&aid=MTI4OTd8MTgwZTc5Mjd8MTcxNTI0MTMzNXw0MDAyNjJ8MjI2NTc%3D步骤2 安装包上传及解压。1. 使用rz命令,将安装包上传到云上1) 先使用rpm -qa | grep lrzsz验证是否安装rz软件包,如果没有回显,说明未安装,需要安装rz软件包。2) 安装rz软件包命令:yum install -y lrzsz。3) 再检查是否安装成功。4) 再进行上传操作,输入rz,会弹出窗口,把安装包上传即可。2. 打开根目录,查看Panbit安装包是否上传成功,进行解压操作,tar -xzf PanabitVirtio_NANBEIr3_20200301_Linux3.tar.gz
步骤3 Panabit安装。1. cd进入panabit解压好的目录,执行./ipeinstall进行安装系统会自动创建目录:系统目录/usr/panabit、日志目录/usr/oanalog、配置文件目录/usr/panaetc。2. 设置管理口网卡,管理口IP、掩码及网关,ip设置和云服务器ip设置相同。1) 云服务器IP,使用ifconfig查看。2) 网关使用netstat -rn查看。3) 设置管理口以及数据口,由于只有一张网卡,所以设置为同样的IP地址。3. 重启后配置生效,输入/usr/panabit/bin/ipectrlstart开启Panabit。4. 在本地访问https://阿里云服务器公网IP,如果访问不了,可能是该Panabit版TLS协议版本较低,需要在QQ浏览器中打开web管理页面,这个时候如果无法打开,可能是阿里云服务器把443端口禁止掉了,这个时候,我们就需要在安全组中配置443端口的白名单,操作如下:1) 点击安全组,选中部署了Panabit的云服务器。2) 点击手动添加。3) 目的选择443,授权对象填写0.0.0.0/0。4) 完成上述的操作后,这个时候就可以正常访问了。
5.4.3. 阿里云Panabit快速安装快速安装使用快速安装软件进行安装,步骤如下:步骤1 快速安装软件install_panabit (kdocs.cn)步骤2 解压后,点击打开GUI.exe,输入阿里云服务器的公网IP、密码以及管理口名称步骤3 成功安装后重启设备或者在服务器上执行/usr/panabit/ipctrl start
5.4.4. 阿里云Panabit配置对网络管理中的WAN线路进行创建。步骤1 点击【网络管理】>【网卡设置】,点击网卡名称。步骤2 在弹出的界面中,设置接入模式为监控模式,方向为接外,点击确定后生效。步骤3 点击网络管理LAN/WAN,选择WAN线路,点击添加-单个添加。步骤4 创建WAN线路,红色方框框住的为必填项。1. 按照需求填写用户名2. 线路类型选择为静态IPv43. 选择网卡4. 填写IP,可以登录阿里云后台,使用ifconfig命令查看5. 选择正常网关6. 填写网关地址,可以登录阿里云后台,使用netstat -rn命令查看7. 填写克隆mac地址,登录阿里云后台,使用ifconfig命令查看8. 上述操作完成后,点击确定保存步骤5 等待一会后,状态为√,说明WAN线路已经创建好了结果验证点击右上方的小闪电标识,进行ping检测,如果能ping通,就可以正常使用了
5.4.5. SD-WAN(iWAN)配置步骤1 iWAN地址池创建。1. 选择【对象管理】>【账号管理】>【组织架构】中,点击添加,选择上级节点,名称和地址范围,点击确认保存。2. 再点击【本地账号】,选择刚才创建的用户组,设置账号名和密码,添加开通日期和截至日期,点击确定。步骤2 创建iWAN服务器。1. 选择【虚拟专网】>【iWAN服务】>【服务列表】,点击添加,填写服务器名称、服务网关名称,设置MTU修改为1420,地址池选择上个步骤中创建好地址池,点击确定保存。2. 选择【服务映射】,选择映射线路为步骤1中创建的wan线路,填写映射端口,选择服务列表中的添加好的服务,点击添加;到这里,iWAN服务端就创建完毕了。步骤4 添加默认路由。单击【网络管理】>【路由策略】,添加一条策略,填写策略序号,执行动作为NAT,选择NAT线路。步骤5 云服务器端口放行,之前已经放通了TCP和UDP所有的端口。结果验证:iwan客户端拨号验证1. 在【虚拟专网】>【iWAN客户端】,点击添加,输入名称,选择一个承载的WAN线路。2. 填写iWAN参数:服务器IP/域名,需要填写服务端的iWAN承载线路的IP,这里为云服务器公网的IP,服务器端口填写服务端上服务映射中设置好的映射端口。3. 填写iWAN的账号密码。4. 展开高级,修改MTU和服务端一致,为1420。5. 完成上述设置后,点击确定保存,iWAN客户端就创建完成了。 6. 成功连接界面如下,可以在客户端上查看流入流出速率、连接数、连接时间。7. 在云端iWAN服务端也可以查看到在线的iWAN客户端详情。
5.5.配置命令
序号命名说明
1ifconfig查看网卡及
2netstat -rn查看路由表
3rz上传文件
4tar -zxf解压文件
5/usr/panabit/bin/ipectrl start开启panabit进程
6/usr/panabit/bin/ipectrl stop结束pananbit进程
5.6. FAQ
5.6.1.初次登陆报错的解决方法Q:初次登录,可能会报下面的错误,如何解决?A:可以根据下面链接中的指导文档进行操作:云助手版本过低。https://help.aliyun.com/zh/ecs/user-guide/upgrade-or-disable-upgrades-for-the-cloud-assistant-agent 登录失败,操作系统禁用了密码登录方式 。https://help.aliyun.com/zh/ecs/user-guide/use-the-password-can-t-login-the-linux-cloud-server-ecs-what-should-i-do
5.6.2.重启之后连不上SSH的方法Q:重启之后,有概率出现workBench、SSH连接不上的情况,如何解决?A:如果是安全组白名单问题,可以查看下面的链接。https://developer.aliyun.com/article/1269757?spm=5176.26934562.main.6.6eb847cd7fO1K5如果是SSH服务没起来,可以查看下面链接进行设置。https://help.aliyun.com/zh/ecs/user-guide/linux-system-can-not-connect-with-ssh-remote-instances-of-ecs#/
页:
[1]