cqh123 发表于 2024-6-25 13:45:16

Panabit核心代号“唐r6p1”版本发布

一、版本信息
核心代号唐r6p1
版本类型正式版本
适用产品Panabit
适用客户通用
发布日期2024年6月30日
新增功能1、Portal认证支持CHAP2、自定义IP地理位置库3、iWAN服务端分配IPv6地址4、IP群组流量监控5、QUIC增强识别6、增加FPGA网卡驱动
功能优化1、TLS处理优化2、共享限速区分IPv4和IPv63、本地账号扩容4、PPPOE代拨错误日志5、iWAN服务IP分配6、MAC认证7、日志发送a)增加WAN线路流量日志;b)IP流量日志增加用户名字段;c)日志发送支持例外IP群组;8、CGNAT动态分配9、Radius用户名分割10、NAT优化11、DHCP服务12、WEB认证指定认证IP
BUG修复系统概况在线用户1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题
虚拟专网iWAN服务1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题
行为管理流控策略1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题
连接控制1、解决全局连接参数如果为0,不会写入配置文件的问题;

网络管理LAN/WAN1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题4、解决DHCPv6 WAN心跳服务地址无法保存的问题5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题
策略路由1、解决最大带宽条件对线路群组不生效的问题
路由/NAT1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题2、解决NAT可能偶发崩溃的问题
DHCP服务1、解决静态分配配置异常的问题
对象管理IP群组1、解决搜索dynip类型成员时,无法查询到的问题
应用识别自定义协议组1、解决加载自定义协议失败的问题
界面优化1、优化流量控制策略组拖动2、优化分页搜索3、优化流量统计页面4、菜单页面调整
应用识别详见章节6


二、新增功能2.1. PORTAL认证支持CHAPCHAP(ChallengeHandshake Authentication Protocol,挑战握手认证协议)应用在Portal认证时,完整数据交互过程如下图所示,相对于PAP增加challenge的请求和响应,并且在radius流程中,密码的校验与challenge有关,不再和密钥相关联,已达到用户密码加密,防止重放攻击等安全性提升目的。 【说明:Panabit作为BAS,无需配置,自动适配PAP和CHAP。】
2.2. 自定义IP地理位置
1、IP地理位置信息如下图所示,Panabit支持在会话信息中查看用户访问的目标IP对应的地理位置和运营商信息,方便排查是否有跨运营商访问的情况。 配置方法:① IP地址位置库获取Panabit官方网站下载链https://download.panabit.com:9443/ecool.php中【Panabit周边】文件名为【IP日期.dat】 ②导入【对象管理】>【IP地理位置】>【系统库】选择下载文件导入。
2、自定义IP地理位置在典型如数据中心场景下,自用服务器选用IP地址可能出现与默认库中的IP冲突的情况,因此,增加自定义IP地理位置功能用于自定义IP地理位置。
配置方法:①添加【对象管理】>【IP地理位置】>【自定义】>【添加】。 ②导入【对象管理】>【IP地理位置】>【自定义】>【导入】。导入文件内容格式要求:IP地址,位置描述 【说明:位置描述为中文时,需使用GB2312编码格式】
2.3. iWAN服务端分配IPv6地址通常在进行IPv6网络建设中,当用户端需要使用IPv6时,从用户端到出口网关用户流量经过的所有中间设备都要进行IPv6支持的设备改造,带来高昂的升级改造成本。鉴于Panabit自研高速SD-WAN隧道的高带宽、高稳定性、快速连接、多样化终端接入方式等特点,于用户客户端电脑部署使用【Panabit iWAN客户端】软件,通过iWAN隧道连接到出口位置的Panabit网关,即实现不改变内网设备的基础上实现内网IPv6改造,充分利旧,大幅降低IPv6升级改造的成本。 【说明:当前仅Windows iWAN客户端支持对IPv6分配地址的获取和使用】
配置方法:在【虚拟专网】>>【iWAN服务】>>【服务列表】中添加/修改iWAN服务。新增IPv6选项开关,开启后即可为Windows客户端分配IPv6地址和DNS。 Windows客户端下载地址:https://download.panabit.com:9443/ecool.php Windows客户端配置方式:打开Windows客户端,点击【设置】>【IPv6设置】,勾选【仅路由IPv6】。【IPv6地址】、【IPv6网关】、【IPv6DNS】不填写则使用iWAN服务端自动分配的地址。
2.4.IP群组流量监控典型如多分支互联场景中,当需要统计和监控各分支的流量和应用使用情况时,在过往版本中使用【虚拟链路】功能来完成。虚拟链路可以使用IP和网卡接口作为条件定义一条虚拟链路,从而实现流量统计和监控。但是只能最大支持4条的虚拟链路,在分支较多的场景下无法满足使用。因此,新增IP群组链路功能。该功能以IP群组和接口为条件定义链路,完成流量统计。每条链路跟随一组IP群组,最大可支持IP群组的最大个数,是虚拟链路的PLus版本。为兼容之前使用虚拟链路的用户,虚拟链路继续保留。
配置方法:在【系统概况】>>【虚拟链路】>>【IP群组链路】>>【添加】根据IP群组和网卡为条件作为
点击data:image/png;base64,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按钮,可以查看该IP群组下的实时应用流量
点击应用名称,可以查看应用下的内网用户IP
2.5. QUIC增强识别QUIC(Quick UDPInternet Connections,快速UDP互联网连接),由谷歌在2013年提出的一种基于UDP的全新低延时互联网传输协议。该协议常用于HTTP Over QUIC、游戏、流媒体和VOIP服务等,已成为Google服务网络通信的默认协议。QUIC基于UDP协议,通过减少TCP三次握手、TLS握手,改进拥塞控制,避免对头阻塞的多路复用,前向冗余纠错等技术,实现大大减少连接建立期间的开销。
QUIC默认使用TLS1.3作为全链路安全,本次更新对QUIC流量进行了解密,可以将QUIC中的域名信息识别出来,关联到对应的会话,并且能实现域名路由。
配置方法:【应用识别】>【引擎参数】>【QUIC解密】设置为【开启】即可。
2.6. 增加FPGA智能网卡驱动增加对Panabit 16千M口(8光+8电)智能网卡支持。相比传统的网卡,智能网卡具备更高的性能和端口密度。
三、功能优化3.1. TLS处理优化当前一些浏览器(如:Chrome等)新版本使用了TLS新的特性,在访问TLS资源时,增加了Key share参数,该参数通常比较大(典型的通常超过1000字节),由此,导致SNI(Server Name Indication,服务器名称指示)出现在第二个报文。这个变化会影响各个模块对TLS处理的预期效果。识别在TANG R6 的版本已经解决。在这个版本中对以下相关模块功能进行优化。
模块优化说明
HTTP管控实现SNI跨数据包后的阻断和TCP重置
WEB认证实现SNI跨数据包后的HTTPS重定向(需搭配WEB认证2.0APP)

3.2.共享限速应用背景对于同时拥有IPv4和IPv6出口的用户,在过往的版本中,共享限速功能将用户账号对应的IP全部用于统一计算。在IPv4和IPv6的出口带宽独立的场景下,为精细化管理,提高带宽利用率和用户体验,共享限速功能支持对内网用户同一账户下针对IPv4/IPv6进行区分限速。配置方法:【对象管理】>【账号管理】>【用户组】修改或添加用户组增加V4 账号带宽限制和V6账号带宽限制,当V6账号带宽限制值是0时,V4和V6的用户共享1个限速。当V6账号带宽限制值不等于0时,V4和V6用户分别共享对应的限速值。 应用白名单配置方法
配置命令说明
floweye rateobj configbypass_app=null|appname,appname为应用的英文名称,null为不配置


3.3.本地账号扩容过往版本中,Panabit支持的本地账号最大为10K,在一些大型企业使用场景中,由于巨大的用户账户数,因此,在Panabit配置文件【/etc/PG.conf】中增加【ACCT_POOLSZ】参数,用于指定本地账号最大可支持的数量。
参数说明
ACCT_POOLSZ=numbernumber为10进制数值,最大本地账号数量,默认为10240

【注意: /etc/PG.conf为PanaOS系统配置文件,修订后需重启PanaOS生效。】
3.4. PPPoE代拨错误日志在PPPoE代拨场景中,用户账号在拨号过程中时常会出现意外拨不上的情况,因此,增加拨号错误的日志,便于运维人员可以通过相关日志定位问题。
配置命令说明
floweye ippxy config debug=1打开拨号错误日志。
floweye dmesg list展示拨号错误日志


3.5. iWAN服务IP分配在做SD-WAN组网时,通常会给账号绑定一个固定IP,方便服务端和客户端直接写路由策略。当同个账号多次拨入时,IP分配的优化为,第一个拨入的会分配绑定的IP,后拨入的会从地址池里分配IP,如果地址池没有可分配的IP,则拨入失败。
3.6. MAC认证为了避免某个IP反复进行MAC认证,对MAC认证进行如下优化:1)去掉TTL参数,由retry(认证次数)和interval(认证间隔)控制认证时间和周期,2)在用户管理模块增加remacauth参数来控制MAC免认证强制下线后,是否再发起MAC免认证;3)为了避免在跨三层环境下做MAC认证时出现过多的无效的认证,IP上线10S后开始MAC认证请求;
配置命令说明
floweye macauth config retry=n interval=m配置认证次数和认证间隔时间,单位秒。
floweye ipobj config remacauth=0|1,1表示MAC认证强制下线后,再次发起免认证,默认值为0


3.7. 日志发送Panabit发送给PanaLog日志优化如下:① 增加WAN线路流量日志② IP流量日志增加用户名字段③ 日志发送黑名单出于安全考虑,不希望某些终端上网日志被记录,需要在发送日志的时候排除一些IP时使用如下命令。
配置命令说明
floweye loggerconfig blackip=NN为IP群组ID,0表示取消黑名单。除了流量日志,其它日志都不记录
④优化cgnat日志,将其与会话日志格式保持一致

3.8. CGNAT动态分配CGNAT(Carrier-GradeNAT,运营商级NAT),是一种网络地址转换(NAT)技术,通常由互联网服务提供商(ISP)在其网络中实施。在CGNAT设备上,会对数据包的源IP地址和端口进行修改,将其转换为一个公共IP地址和端口,然后将数据包转发到互联网上。并且每个私有IP地址的数据包都使用不同的源端口号来区分。之前版本的动态CGNAT只能配置1个服务,这样无法适应多条WAN上做CGNAT的场景。因此更新了CGNAT,支持多个服务,每条策略路由可以匹配不同的CGNAT服务,以适应多WAN口场景下的CGNAT。配置方法:【网络配置】>【路由/NAT】>【CGNAT】动态分配中可配置4个CGNAT对象,配置好NAT地址和端口后,在策略路由里调用对应的CGNAT对象。
3.9. Radius用户名分割某些radius服务器推送的用户认证报文中,用户名信息带有“\”符号,通常用于表示是将域信息和用户名分隔开。因此在遇到用户名带有“\”时,将“\”前面部分剥离掉。
3.10. NAT优化对NAT模块做了全面优化,大幅度提升NAT会话新建性能。同时针对UDP协议的分流做了大的改进。对于非首包识别的UDP会话,也能在后续报文中识别成功后正常分流。配置方法:【应用识别】>【引擎参数】>【UDP增强代理】设置为【开启】
3.11. DHCP服务DHCP服务新增QinQ条件匹配,VLAN条件可设置N个VLAN条件满足QinQ条件时,才会响应DHCP服务发现报文。配置方法:【网络管理】>>【DHCP服务】>【服务列表】,选择需要开启DHCP服务的lan线路,配置VLAN,格式为外层VLAN/内层VLAN,内外层vlan用/分割,最多支持200组vlan配置。 当使用另一台PA来获取地址时,需正确配置内外层VLAN。
3.12. WEB认证增加认证IP功能,即只对群组内的IP做认证。认证IP和免认证IP组合情况下,是否需要认证如下表所示,其中,【√】表示命中IP群组,【×】表示未命中IP群组,【-】表示未启用。





组合会话认证IP组免认证IP组结果
1源IP√×需认证
目标IP√×
2源IP√×需认证
目标IP√√
3源IP√×需认证
目标IP××
4源IP√√放行
目标IP√×
5源IP√√放行
目标IP√√
6源IP√√放行
目标IP××
7源IP××需认证
目标IP√×
8源IP××需认证
目标IP√√
9源IP××需认证
目标IP××
10源IP√-需认证
目标IP√-
11源IP×-放行
目标IP×-
12源IP√-需认证
目标IP×-
13源IP×-需认证
目标IP√-
14源IP-√放行
目标IP-√
15源IP-×需认证
目标IP-×
16源IP-√放行
目标IP-×
17源IP-×放行
目标IP-√
18源IP--需认证
目标IP--

四、界面优化4.1. 优化策略组拖动为了避免在【行为管理】>【流量控制】>【策略组】直接进行排序拖动时,达不到预期效果。优化拖动规则如下:① 策略组从下往上拖动,被拖动的策略组停留在拖动后的位置,建议用这个方式进行策略组的拖动;② 策略组从上往下拖动,拖动到所有策略组最底部,被拖动的策略组停留在最底部;③ 策略组从上往下拖动,拖动到策略组中间任何位置,被拖动的策略组停留在拖动后的前一个位置;
4.2. 优化分页页面查询在分页显示的页面中,在任何分页页面查询,都能显示出查询内容。
4.3. 优化流量统计页面流量统计用户排名自动刷新间隔太短,无法进行排名查看,提供刷新控制选项,并且流量统计流量趋势图增加最大流量、最小流量、平均流量。
4.4. 菜单页面调整
去除【网络设置】>【CGNAT】菜单,合并至【网络设置】>【路由/NAT】
去除【网络设置】>【DHCP中继】菜单,合并至【网络设置】>【DHCP服务】 新增【虚拟专网】>【iWAN用户】菜单;
五、BUG修复
一级分类二级分类模块修复
系统概况在线用户连接信息1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题
虚拟专网iWAN服务iWAN服务1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题
行为管理流控策略流量控制1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题
连接控制连接控制1、解决全局连接参数如果为0,不会写入配置文件的问题;

网络管理LAN/WANWAN1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题4、解决DHCPv6 WAN心跳服务地址无法保存的问题5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题
6、解决IPSEC客户端与H3C对接失败的问题
策略路由策略路由1、解决最大带宽条件对线路群组不生效的问题
路由/NATNAT1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题2、解决NAT可能偶发崩溃的问题
DHCP服务DHCP服务1、解决静态分配配置异常的问题
对象管理IP群组IP群组1、解决搜索dynip类型成员时,无法查询到的问题
应用识别自定义协议组自定义协议组1、解决加载自定义协议失败的问题


六、应用识别

6.1.新增应用

一级分类二级分类三级分类应用
http协议Web视频直播秀来疯
Web视频墨鱼丸
常用网站常用网站苹果
云服务云服务蓝奏云上传
百度云盘上传
移动云上传
腾讯微云上传
阿里云盘上传
夸克云盘上传
天翼云上传
123云盘
社交即使通讯移动社交/微信微信登录
微信看一看
常用协议终端控制终端控制Raylink
游戏维护游戏维护网易更新
网络安全网络安全Anyi
金融财经网上银行网上银行交通银行
中国邮政银行
浦发银行
民生银行
光大银行


商业系统商业系统商业系统天翼云会议
移动应用应用下载应用下载中兴应用商店


6.2.更新应用

一级分类二级分类三级分类应用
http协议Web视频优酷系列优酷移动
直播秀微信直播
网易CC
Web视频微信视频号
快手
CCTV点播
带宽测速带宽测速Speedtest
云服务云服务百度云盘
移动云
常用协议终端控制终端控制TODESK
远程桌面
游戏维护游戏维护Wegame下载
逍遥模拟器
MUMU模拟器
其它游戏更新
游戏加速游戏加速迅游
雷神加速
社交即使通讯移动社交/微信微信文件传输
企业微信
企业微信文件
即使通讯移动社交钉钉文件传输
金融财经在线支付在线支付支付宝
微信支付
商业系统商业系统商业系统腾讯会议
小红书
亿联会议
Welink
网络游戏腾讯游戏英雄联盟英雄联盟游戏
腾讯游戏穿越火线
王者荣耀
盛大网络盛大网络传奇系列
Steam游戏Steam游戏绝地大逃杀
移动应用应用下载应用下载苹果APP下载
Vivo应用商店

七、下载地址:

标准版:
FreeBSD:

Linux:

网吧版:
FreeBSD:

Linux:

ARM:

SMB版:
FreeBSD:

Linux:

专业版:
FreeBSD:

Linux:

ARM:

流媒体版:
Linux:

ARM:



pyslan 发表于 2024-6-27 23:39:08

企业版呢

远离颠倒梦想 发表于 2024-6-28 11:47:37

pyslan 发表于 2024-6-27 23:39
企业版呢

还没发布

失控小歪 发表于 2024-7-1 09:36:18

pyslan 发表于 2024-6-27 23:39
企业版呢

专业版已发布:lol

begekanpu 发表于 2024-7-3 10:11:01

自动报表功能,无法创建模版
页: [1]
查看完整版本: Panabit核心代号“唐r6p1”版本发布