Panabit核心代号“唐r6p2”版本发布
一、新增功能1.1、HTTP管控日志1、HTTP管控Panabit的HTTP管控功能基于HTTP的请求和响应工作模式,当用户在其终端设备上输入网址并发送请求之后,当请求经过Panabit时,Panabit可基于源地址、源端口、目标地址、目标端口、源接口、请求文件类型、访问域名等条件,进行允许访问、阻断访问、TCP重置、URL跳转等管控措施。功能页面位于【行为管理】>【HTTP管控】>【策略管理】。2、HTTP管控日志Panalog大数据日志审计系统对网络流量的信息进行日志留存,实现网络用户行为审计、网络流量大数据分析等服务。相较过往版本,Panabit新增HTTP管控日志,将HTTP管控策略匹配命中执行管控措施的日志信息发送给Panalog。其中,信息包括:MAC地址、源IP、源端口、目标IP、目标端口、访问域名、执行动作、新域名(如果为跳转)。配置方法:1. 在【行为管理】>>【HTTP管控】>>【策略管理】>>【添加策略组】>>【添加策略】添加管控策略时,选中【发送命中日志】 2.【系统维护】>>【日志对接】>>【其它事件】>>【编辑】日志服务器信息。
1.2、SNMP新增OIDWAN线路Panabit设备专有OID新增提供WAN线路名称和WAN线路连接数。
OID返回值说明
.1.3.6.1.4.1.58819.9.1.xWAN线路名称返回值类型STRING,其中x为第x条WAN线路
.1.3.6.1.4.1.58819.9.2.xWAN线路连接数返回值类型INTEGER,其中x为第x条WAN线路
二、功能优化2.1、WAN线路健康检测1、WAN线路健康检测在配置WAN线路时,可以通过可选的心跳服务器配置来实现WAN线路的健康检测,以便于在对用户流量进行策略路由时实现用户流量的自动选路。Panabit通过使用WAN线路对心跳服务器主动发送ICMP报文的方式判断线路是否健康。当线路判断为不健康时,对应的策略路由自动失效。而当线路重新恢复健康时,对应的策略路由将自动恢复。
2、基于时延的健康检查过往版本中,WAN线路的健康状态由ICMP报文的丢包情况进行判断。即只有当心跳服务器未回应ICMP请求报文时,才认为线路已经处于不可用状态。对于典型如SD-WAN组网等对传输质量要求高的场景中,需要根据节点或者探测目标地址的时延进行动态调整选路。因此,优化WAN线路健康检查,增加时延判断选项,当时延超过配置时,即认为线路处于不健康状态,及时进行策略路由调整。配置方法:【网络设置】>【LAN/WAN】>【WAN线路】>【添加/编辑WAN线路】>【最大时延】。其中,最大时延单位为毫秒(ms)。配置后,开始检查心跳服务器IP,如果连续N(默认为5)次心跳超时或时延超过最大值,则认定为线路不健康。 【说明:连续判断次数N(默认为5)可使用如下命令进行修改】
配置命令说明
floweye nat confignatproxy_xpwatchdog=NN为连续心跳超时的次数,默认是5。
2.2、WEB认证1、默认放行OSPF流量Panabit通常会使用网桥模式串接在核心与出口之间,如果核心和出口之间使用了OSPF协议,那么在开启WEB认证功能后,OSPF协议会被阻断,导致网络异常。因此优化WEB认证模块,默认放行OSPF流量。
2、AAA状态检测在WEB认证场景下,通常会配合Radius服务部署。当Radius服务异常时,则会导致WEB认证失败。为便于故障排查,以及基于Panabit NFV开放平台的认证相关的APP自定义认证策略,增加AAA状态检测。将AAA工作状态能通过Panabit设备进行输出查看。
2.3、MAC认证应用场景:为实现用户使用WEB认证时的二次认证无感知上线,用户上线时,Panabit作为BRAS会自动开始MAC认证。当Panabit位于三层交换机之上时,则需使用SNMP获取用户的真实MAC,才能对用户使用MAC认证。默认情况下,获取用户真实MAC期间,将放行用户流量,避免用户感知到网络不可用带来不好的用户体验。而可能引起,在此期间,用户终端设备已经完成连接网络是否可用的检测,导致用户终端设备不会马上弹出认证Portal页面。而需要等待一段时间才会弹出认证Portal。因此,优化MAC认证,增加drop_tcp参数。当参数为1时,用户在MAC认证状态期间,丢弃所有的TCP数据包,以及时触发用户终端设备的Portal页面弹出。
配置命令说明
floweye macauth config drop_tcp=1|0默认值00:IP在MAC认证状态期间,放行所有数据包1:丢弃所有TCP数据包。
【注意:通过大量不同类型终端测试数据统一分析整理,当设置为1后,建议认证过程不超过15秒】
2.4、流量控制流量控制策略可以创建多个策略组,策略组中的参数可以选择“停止”(即流量不再匹配后面的策略组),也可以选择“继续”(即流量还会匹配后面的策略组)。在过往版本中,某个数据包在第一个策略组中没有匹配到任何策略,并且策略组配置的是“停止”时,此数据包将不再继续匹配后续策略组。优化策略组的匹配逻辑,当流量在策略组中没有匹配任何策略时,继续匹配下一个策略组。
2.5、PPPoE代拨随着IPv6的加速发展,运营商在越来越多的PPPoE场景下给用户分配IPv6地址,其中也包括PPPoE代拨场景。因此,优化PPPoE代拨,增加IPv6地址的获取和呈现,为代拨全面支持IPv6迈出第一步。配置方法:【应用识别】>【引擎参数】>开启【IPv6流量识别】 【宽带接入】>【PPPoE代拨】>【参数设置】>【IPv6】选项置为【启用】。
2.6、端口映射1、源IP访问为只允许指定IP访问映射的内部服务器,在【网络设置】>【端口映射】>【添加】端口映射策略时,新增【源IP】条件,只允许指定的IP进行端口映射的访问。
2、策略ID在过往版本中,映射策略的序号为Panabit系统自动分配,当系统重启后,相同规则的序号可能发生变化,导致在大规模部署运维或自动化运维时复杂度的上升。因此,优化增加策略ID,序号为映射策略添加时可配置的策略ID,以此,既能明确映射策略对应的序号,又可调整映射访问的匹配顺序。
3、支持多内网端口当内网某服务器使用不同的端口提供多种服务时,过往版本由于不能配置多个端口而无法实现,因此,优化允许服务器对象的端口配置为0,当服务器端口配置为0时,表示允许所有的端口接入请求,映射后的目标端口为原始请求的目标端口,即目标端口不变。同时,当服务器端口为0时,选择使用的TCP心跳健康检查方式自动变为ICMP方式心跳。
2.7、DHCPv6 PD1、DHCPv6 PD前缀代理DHCPv6 前缀代理机制,Panabit不需要再手工指定LAN线路用户侧链路的 IPv6 地址前缀,只需要向WAN线路侧设备提出前缀分配请求,WAN线路侧设备便可以分配合适的地址前缀给LAN线路用户设备。Panabit将获得的前缀(同时也可以将前缀进行进一步的细分)再通过SLAAC(无状态分配)中ICMPv6 的 RA 路由通告至与IPv6用户主机相连的LAN线路上,实现用户侧IPv6主机的地址自动分配。Panabit使用前缀代理功能之后,在LAN线路进行SLAAC分配时,无需配置LAN线路的网络前缀,将会使用代理委派的WAN线路上获取到的网络前缀进行SLAAC分配。 2、WAN多LAN支持过往版本中,一条WAN线路只允许委派给一条LAN线路,随着IPv6的普及,优化前缀代理,可将一条WAN线路委派给多条LAN线路,同时,新增【子网前缀】和【子网前缀长度】选项,当DHCPv6 PD获取的前缀小于64时,支持将前缀拆分为多个子网,实现同一条WAN线路代理委派到不同LAN线路时,可分配不同网段的IPv6地址。配置方法:【网络设置】>【LAN/WAN】>【LAN接口】>【无状态分配】>【委派选路】选择前缀代理的IPv6 WAN线路,【子网前缀】以运营商分配的前缀长度是56为例,将这个前缀拆分成N个64位前缀。则,前56位全填0,57-64位根据设计网段填写。 提交后状态如下: 不同LAN接口委派不同网段
2.8、VRRP主动监测VRRP主动监测,通过监控物理接口和逻辑线路的状态变化,以此来提升或者降低VRRP线路的抢占优先级,从而实现主机VRRP状态在master和backup之间的切换。在过往版本中,当监测到状态变为down时,降低所有VRRP线路的抢占优先级为1;当监测到状态变为up时,优先级设置为255。由于255不参与选举,导致主机状态持续为master。因此,优化为当监测到状态变为up时,优先级设置为254。【注意:建议主动监测功能只在master主机使用】
2.9、iWANiWAN是Panabit自研基于UDP协议的高速高性能SD-WAN隧道协议,而在IPv4 UDP协议规范中,checksum(校验和)为可选项,因此,可能引起不同网络设备对于未计算校验和的UDP报文有不同的处理方式。部分网络设备可能会丢弃校验和为0(即未计算校验和)的UDP报文。因此,增加如下配置选项,避免iWAN服务出现异常。
配置命令说明
floweye nat configiwancksum_enable=1|0,0为默认值,表示不计算checksum。1表示开启计算iWAN业务报文的checksum。
三、界面优化3.1、升级条件调整授权状态下检查升级包版本时间是否在授权许可时间范围内,若在即可升级。因此,对于授权过期的Panabit设备可升级授权时间范围内的过往版本。
3.2、自动更新检查可针对系统版本、特征库、APP自定义是否自动检查、自动升级新版本
3.3、WAN线路汇总统计在典型如多条WAN线路由同一运营商分配地址使用,当需要统计多条WAN线路的总流量趋势时,可使用新增的WAN线路汇总统计功能。使用方法:【网络设置】>【LAN/WAN】>【WAN线路】勾选需要汇总的WAN线路,点击【批量操作】>【汇总】
3.4、系统检测一键展开支持一键展开和关闭所有检测结果
3.5、在线用户趋势统计去除共享用户统计,增加IPv6用户统计趋势
3.6、连接信息新增五元组【IP档案】>>【连接信息】新增5元组的平行坐标图,用于观察IPv4会话的5元组趋势。
3.7、菜单调整去除【系统概况】>【网卡设置】菜单,只保留【网络设置】>【网卡设置】调整【对象管理】菜单到【威胁情报】和【应用识别】之间
四、BUG修复
一级分类二级分类模块修复
系统概况在线用户流入限速&流出限速解决在线用户通过城市热点接口对接得到账号和用户组后,没能关联到用户组的上行和下行限速的问题
MAC排序解决在线用户对MAC进行排序,MAC第一位相同或者前两位相同时没有依次往下或者往上排列的问题
账号备注解决在线用户通过城市热点接口对接时,没有关联IPV6用户的用户组信息的问题。
虚拟专网iWAN服务iWAN服务解决使用Radius认证方式,没有发起Radius认证的问题。
无线ACSSID管理SSID管理解决操作绑定AP时,对apid为0的AP,显示异常的问题。
网络管理网卡设置高级设置解决修改数据口列表可能会导致配置丢失的问题。
端口映射端口回流解决在开启服务端回流的情况下,iWAN客户端访问iWAN服务端映射的WAN线路IP,可能导致访问失败的问题。
对象管理IP群组IP群组解决在流控策略点击IP群组的弹窗中删除IP群组成员,删除成功后,没有正常显示该IP群组剩余成员的问题。
宽带准入PPPoE代拨参数设置解决重拨等待时间配置与实际不符的问题。
五、应用识别5.1、新增应用
一级分类二级分类三级分类应用
http协议Web视频Web视频河马剧场
红果短剧
常用网站常用网站小米
常用协议工控物联网工控物联网米家摄像头
网络游戏腾讯游戏腾讯游戏星之翼
白荆回廊
鸣潮
P2P下载P2P下载P2P下载多多视频
5.2、更新应用
一级分类二级分类三级分类应用
http协议常用网站常用网站京东
其它web其它web爱动漫
Web音乐Web音乐网易云音乐
Web视频直播秀来疯
腾讯视频
微信直播
头条小视频抖音
常用协议游戏加速游戏加速迅游
UU加速
游戏维护游戏维护其它游戏更新
网络安全网络安全小火箭
社交即时通讯移动社交-微信微信文件传输
网络电视QQ音影QQ音影QQ音乐
商业系统商业系统商业系统腾讯文档
云视讯/ZOOM
网络游戏盛大网络盛大网络冒险岛
六、下载地址
标准版:
FreeBSD:
Linux:
网吧版:
FreeBSD:
Linux:
ARM:
SMB版:
FreeBSD:
Linux:
专业版:
FreeBSD:
Linux:
ARM:
流媒体版:
Linux:
ARM:
页:
[1]