Panabit核心代号“唐r6p3”版本发布
一、新增功能1.1 支持IPv6 in GTP解码GTP是一组基于IP的高层协议,位于TCP/IP或UDP/IP等协议上的隧道协议,主要用于运营商核心网之间的流量传输。Panabit提供了gtpdecoder模块来解析GTP报文,之前的版本只支持对IPV4 in GTP的解析,新版本增加了对IPV6 in GTP 的解析。配置命令说明
floweye gtpdecoderconfig enable=11为开启GTP报文深度解析,默认是0。
1.2 WAN线路增加“DNS代理”选项在多线路,多运营商负载的场景下,用户终端设置的DNS服务器是五花八门。需要设备在转发用户DNS请求的时候,对DNS报文做源地址转换的同时做目的地址转换,让目的DNS服务器IP与线路配置的DNS服务器保持一致,避免出现DNS解析异常的问题。配置方法:【网络配置】>>【LAN/WAN】>>【WAN线路】>>【编辑/添加WAN线路】,可以配置DNS代理开启或者关闭。
当线路的DNS代理选项打开,所有经过该WAN线路做NAT的DNS连接的目标地址自动转换成线路的DNS地址 注意:DNS管控优先级高于线路DNS代理。
二、功能优化2.1 优化网络流量输出显示floweye if list命令,增加shownum参数,如果shownum=1,速率显示时以实际数字显示,不做单位转换。
2.2 端口映射1、去掉策略ID不能大于65535的限制在TANG R6P2的版本中对端口映射策略增加了策略ID的配置选项。该选项最大值是65535,实际端口映射策略条目并未限制数量,因此去掉策略ID不能大于65535的限制。
2、端口映射策略增加不回流选项端口映射回流解决的是内网主机通过映射的公网IP,能直接访问内部的服务器的问题。在某个多出口映射些场景中,需要使用回流功能,同时又希望内网主机访在问某个映射时,先从其它出口出网,再从外网访问映射的公网IP。由于回流是一个全局选项,因此在端口映射策略中增加了“忽略回流”选项,解决这样的需求。配置方法:【网络配置】>>【端口映射】>>【编辑/添加策略】可以配置【忽略回流】选项开启或者关闭。
3、增加对UDP流量回流的支持在之前的版本里,回流只对TCP的流量有效,新版本里增加了对UDP流量回流的支持。配置方法:在命令行输入floweye nat config udpnhinstall=1 开启UDP回流;使用命令floweye nat stat | grepudpnhinstall 获取当前参数值。
配置命令说明
floweye nat configudpnhinstall=1|01为开启UDP回流,默认是0。
4、增加对IPv6映射到内网IPv6的支持新增IPV6 WAN线路地址映射到内网IPV6服务器功能,满足外网IPV6主机访问内网IPV6私网地址主机的需求。配置方法:【网络配置】>>【端口映射】>>【添加策略】映射线路:选择IPv6线路;主机IP端口:填写内网IPV6主机和端口下一跳:V6LAN口和映射主机在一个子网内,无需填写,经过了路由则填写V6LAN口对端地址。
2.3 SLAAC无状态地址分配发现在IPv4+IPv6双栈的场景中,Windows客户端的网卡IPv4拿到了IP和DNS,网卡的IPv6就只有IP没有DNS,那么客户端不会使用IPv6网络。修改SLAAC无状态分配流程,修改RA( Router Advertisement )报文 Otherconfiguration选项为1,增加对information-request报文的响应,用于分配IPv6 DNS。
2.4 DHCP ServerPanabit作为DHCPServer,网内有多个DHCP中继服务,这些中继服务的IP属于不同的IP段,需求不同的中继服务下的客户端获取到不同段的IP地址和网关。
1、改进DHCP应答报文为了让应答报文回到正确的DHCP中继服务上。改进DHCP Server对中继报文的应答,应答报文的目标IP是relay agent ip address字段里的IP。
2、改进DHCP地址分配根据DHCP中继报文中的relayagent ip address字段,选择匹配的DHCP SERVER和地址池。改进DHCP SERVER的IP地址分配算法,增加checkrelayip参数,让DHCP中继服务IP参与匹配算法。checkrelayip默认为0,使用floweye dhcpsvr config checkrelayip=1|0设置参数,当参数为1时,根据relay agent ip address所在地址池进行IP分配,如果relay agent ip address 不在任何地址池,则不响应discover请求;如果request ip 和 relay agent ip 不在同一个地址池,则应答NAK;使用floweye dhcpsvr stat | grep checkrelayip可以获取参数当前值。
配置命令说明
floweye dhcpsvr config checkrelayip=1|01为开启relay ip 检查,默认是0。
3、增加排除IP群组为了避免内网手动分配的IP被DHCPServer分配出去。改进DHCP服务模块增加地址池例外IP的群组,该群组里的IP地址不会被DHCP Server动态分配给终端。配置方法:【网络配置】>>【DHCP服务】>>【参数配置】>>【地址池例外IP】选择一个IP群组。
4、可同时下发2个无线控制器地址市场上的一些AP在和无线控制器(AC)通讯时,支持主备策略,比如小派系列的AP,可以同时与Panabit的SAC及Saas云AC通讯,那么就要求DHCPServer下发多个AC地址。配置方法:【网络配置】>>【DHCP服务】>>【编辑/添加服务器】可以配置无线控制选项。2个ip用英文逗号分开。
注意:目前小派AP不支持两台独立Panabit做主备SAC,仅支持SAC+SAAS云AC同时管理。
5、增加IPMAC绑定错误丢包的计数器在DHCP分配时,为了防止用户自己私自修改IP,可以在DHCP Server的参数配置中开启“绑定IP与 MAC”选项,DHCPServer会记录分配出去的IP和MAC的对应关系,当内网数据包的IP或MAC在这个列表中,但是不匹配对应关系,则丢弃相关IP和MAC的数据包。可以通过使用floweye dhcpsvr stat | grepipmac_droppkts查看计数器,当计数器增长时,表明当前有违背了IP和MAC绑定关系的数据包被丢弃。
配置命令说明
floweye dhcpsvr stat | grep ipmac_droppkts当计数器增长时,表明当前有违背了IP和MAC绑定关系的数据包被丢弃。
2.5 驱动1、增加巨形帧的支持可通过配置文件修改网络接口的MTU值配置方法:在/etc/PG.conf里增加MBUFLEN=X和ETHERMTU=YX最大为10,Y最大为9216示例:要修改网卡MTU为3000在/etc/PG.conf里增加以下两行MBUFLEN=4ETHERMTU=3000
2、增加网讯网卡电源管理支持可使用命令控制网卡加电和断电命令为:floweye if set name=网卡名 power=off|on
配置命令说明
floweye if set name=网卡名 power=off|onoff为断电,on为加电,改选项不会保存配置文件。
2.6 连接数控制连接控制策略增加VLAN条件。
2.7 TCP连接老化机制TCP连接首先是三次握手,当三次握手完成后才会开始发送数据。有些TCP扫描,只有三次握手没有实际数据,这样就会产生大量的半连接,为了避免这些只有三次握手但没有数据的半连接TCP会话占用授权,系统默认30秒后会删除这样的连接。 但是近期发现有些场景,客户端会先完成三次握手,过一段时间再发送数据 ,如果这个间隔超过30秒,Panabit网关部署时如果删除了会话,数据发送就会失败。因此将半连接的TCP会话30秒删除改为不删除,可通过命令floweye flow configtcpsetup_ttl=N 来设置半连接TCP会话删除时间。
配置命令说明
floweye flowconfig tcpsetup_ttl=NN为半连接TCP会话删除时间,默认为0。
2.8 流控策略流控策略最大条目数为1528条,大部分场景下并发策略数不会超过这个数目。如果希望支持更多,在/etc/PG.conf里增加一行:POLICY_STAT_MAX=N,N最大值为16000,重启后生效。
注意:单个策略组策略过多,展开策略组时,会导致页面加载时间变长。
三、界面优化3.1 流控策略优化新流控的关键字搜索,可以通过关键字搜索具体策略。(不支持IP群组关键字、中文关键字)
增加所有策略条目数统计
3.2 自定义协议组的配置页面在软件内部逻辑中,是不允许自定义协议组包含自定义协议组的。因此优化编辑自定义协议组成员页面,不显示自定义协议组,避免配置错误。
3.3 AP的导入功能【无线SAC】>>【AP管理】>>【在线AP】>>【导入】新增CSV导入格式的支持。
3.4 ping监测优化扩大Ping测对象的数量,最多添加512条,记录告警日志,保存2000条
3.5 ping功能页面优化管理口ICMP ping和TCPping 可以同时工作。
3.6 组织架构页面优化组织架构增加滚动条,避免和账号页面共用滚动,配置查看更方便。
四、BUG修复
一级分类二级分类模块修复
系统概况在线用户radsnif修复嗅探到只带IPv6前缀的的用户,用户无法关联到前缀IP上的BUG
网络管理DHCP服务VRRP修复VRRP接口开启DHCP服务后设置VLAN不生效的BUG
LAN/WANVRRP修复VRRP v6工作异常的BUG
L2TP修复L2TP在特定场景下掉线后不能重拨的BUG
WAN线路修复WAN线路汇总页面,超过40条线路后汇总显示异常的BUG
DNS管控 修复软件重启后,时间段条件变为any的BUG
行为管理流量控制 修复流量控制策略,并发策略数超过2040后策略不生效的BUG
虚拟专网iWAN服务 修复iWAN模块里因为分片数据包导致crash的BUG
Web认证 修复需要认证IP不支持IPv6的BUG
修复已经认证IP偶尔弹出认证portal的BUG
修复portal协议查询IP状态时,对未认证的IP也返回认证成功的BUG。
Web管理页面 修复身份验证漏洞
五、应用识别5.1 新增应用
一级分类
二级分类应用
http协议Web视频DailyMetion
Crackle
Starz
Vimeo
Twitch
新浪视频
云服务其它CDN
Cloudflare
顺网云电脑
常用网站Yahoo
网上招聘Indeed
常用协议终端控制RemotePC
Gotomypc
CrossLoop
黑洞远控
网络安全影猫VPN
冲鸭加速
网络广告AppsFlyer
电子邮件Yahoo邮件
游戏加速金珂拉加速
网络游戏Steam游戏永恒战歌
Caliber
黎明杀机
金融财经在线支付Stripe
社交即时通讯ChatGPT
Tinder
Bumble
社交媒体CNN
移动应用移动浏览器/苹果系列AppleTV
5.2 更新应用
一级分类二级分类应用
http协议Web视频网易CC
激动网
我乐网
六间房
快手
抖音
常用网站新浪
网易
亚马逊
QQ网吧
云服务网宿CDN
常用协议终端控制Ammyy
XT800
游戏维护Wegame下载
云更新
Steam游戏更新
网络游戏盛大游戏传奇系列
腾讯游戏英雄联盟
网易游戏战意
Steam游戏Steam登录
网络电视 央视电影频道
社交社交媒体今日头条
移动应用手机应用拼多多
六、下载地址
标准版:
FreeBSD:
Linux:
网吧版:
FreeBSD:
Linux:
ARM:
SMB版:
FreeBSD:
Linux:
专业版:
FreeBSD:
Linux:
ARM:
流媒体版:
Linux:
ARM:
0905版本升级后连接数暴涨 www和syn 连接数上万了 控制不住了 管控后 造成网页打不开 降回0731版本后 正常了 什么原因:o:o:o wang8888 发表于 2024-9-10 12:15
0905版本升级后连接数暴涨 www和syn 连接数上万了 控制不住了 管控后 造成网页打不开 降回0731版本后 正常 ...
本文中的 2.7 TCP连接老化机制 将参数调整为30试一试
页:
[1]