Panabit核心代号“唐r6p4”版本发布
一.新增功能1.1 域名路由在多出口链路场景,实现访问特定域名走特定出口。其原理是跟踪DNS报文,获取指定域名的解析结果后,自动建立域名域IP的映射表,从而实现对域名的路由或NAT。配置方法以访问www.baidu.com分流到指定线路为例。1.添加【域名群组】【对象管理】>>【域名群组】>>【添加】域名群组和域名 2.配置【域名跟踪】【网络设置】>>【DNS管控】>>【域名跟踪】>>【添加】,指定特定域名群组以及解析线路 参数说明如下:[*]【策略ID】:范围为1-65535
[*]【访问域名】:选择需要分流的域名群组
[*]【域名解析线路】:选择线路进行DNS解析,避免跨运营商访问,需要和策略路由中分流一致
[*]【备份线路】:选择备份DNS解析线路,避免跨运营商访问,策略路由中需要添加备用分流策略
[*]【DNS服务器】:配置指定DNS服务器解析,为空则使用线路DNS
[*]【跟踪HOST】:开启会追踪host信息,将IP记录到节点中
[*]【DNS缓存应答TTL】:如果该选项不为0,当收到的DNS请求域名在活跃域名中,Panabit会直接应答DNS请求报文,应答DNS报文中answersTTL为配置的值+120,为0不使用DNS缓存功能
3.添加策略路由【网络设置】>>【路由/NAT】>>【IPv4】>>【添加】,目的地址选择特定域名群组,分流至域名路由线路出口
当访问域名群组域名时,连接信息可以看到已经分流至域名群组线路
4.状态监控【网络设置】>>【DNS管控】>>【域名跟踪】>>点击 查看【域名信息】
【活跃域名】页面记录当前跟踪到的域名信息及IP个数。 【活跃IP】页面,查看当前最近访问IP和域名的时间。
1.2 LAN/WAN路由跟踪路由跟踪用于确定到达目标IP所经过的路径,是网络运维中常用的手段。其原理是利用 IP生存时间(TTL字段)和ICMP错误消息来确定从一个主机到网络上其他主机的路由器。程序先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将TTL递增 1,直到目标响应或 TTL 达到最大值,从而确定路由路径。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。如果某些路由器不经询问直接丢弃 TTL 过期的数据包,那么在结果中则看不到此路径。
1.3 奇安信威胁情报奇安信威胁情报是一款专业的商业威胁情报服务,更新到“唐 r6p4”版本后,用户可自行选择使用免费威胁情报和商业威胁情报。同时“唐 r6p4”版本还更新情报库算法,增加了对百万级情报条目数的支持。1.导入授权【系统维护】>>【系统升级】>>【模块授权】>>导入威胁情报授权2.同步情报库【威胁情报】>>【情报概况】>>开启自动同步 3.启用情报【威胁情报】>>【情报分类】>>情报源选择“奇安信商业情报”可开启对情报的【监控】、【阻断】、【记录日志】
1.4 静态NAT44(一对一NAT)静态NAT44又称为“一对一NAT”,是指将指定的局域网内IP映射为指定公网IP,对应主机访问Internet时有自己的公网IP,同时Internet上的主机也可以通过对应的公网IP地址访问到被映射的局域网内的主机。配置方法【网络设置】>>【路由/NAT】>>【静态NAT44】>>【添加】
参数说明如下:
[*]【ID】:NAT44策略执行先后顺序,ID越小越优先。
[*]【外网线路】:选择NAT出网的WAN线路。
[*]【外网IP】:如果填0.0.0.0则直接使用外网线路的IP进行NAT,如果不为0,则使用所填的IP进行NAT。
[*]【内网IP】:填需要做静态NAT44的内网IP地址。
[*]【下一跳】:如果内网IP经过了三层交换机路由转发才到Panabit,则填三层交换机与LAN口互联的IP。
静态NAT44的优先级高于策略路由。
二.功能优化2.1 DNS跟踪DNS跟踪模块用于跟踪DNS报文,从DNS报文中获取域名和IP的对应关系,实现基于域名的应用识别和自定义协议中的域名识别。在以往的版本中,该模块会对所有DNS报文进行跟踪,获取域名和IP对应关系,当只希望跟踪指定DNS服务器报文时,无法实现。优化DNS跟踪模块,支持配置跟踪指定目标IP的DNS报文,最多支持6个DNS。使用如下命令:
配置命令说明
floweye dnsackconfig dnslist=x.x.x.x,y.y.y.y,n.n.n.ndnslist默认为空,表示跟踪所有的DNS报文,dnslist不为空时,只跟踪dnslist中的DNS报文,最多可以配置6个目标IP用英文逗号隔开。
floweye dnsackconfig dnslist=NULL清空dnslist
Floweye dnsack stat查看当前配置
2.2 DNS管控牵引策略当DNS报文经过DNS管控模块的动作为“牵引”的策略时,DNS的源地址会转换为“牵引”策略的线路地址转发出去,但是在有些场景中,牵引后的DNS服务器有溯源要求,需要DNS服务器收到的DNS请求报文源地址是原始用户的IP地址,因此,需要DNS牵引后不改变源地址。在DNS管控策略中新增不改变源地址功选项。配置方法【网络配置】>>【DNS管控】>>【策略管理】>>【编辑/添加策略】可以勾选【不改变源地址】选项。
注意: 如果启用不改变源地址,就要保证DNS服务器应答的报文也要经过Panabit。
2.3 PPPOE代拨失败日志在代拨场景中,为了快速便捷地跟踪用户代拨失败的原因,新版本支持将代拨失败日志发送到Panalog。配方方法【系统维护】>>【日志对接】>>【其它事件】>>开启【其它事件日志】
2.4 域名负载支持PPPOE线路在配置域名负载策略时,可以选择PPPOE线路作为负载线路。
2.5 Portal传递radius认证失败消息在Portal认证场景中,Radius流程认证失败后,会在认证拒绝报文中携带reply-message信息,表示认证失败的原因。在和其它AAA厂家对接时,希望将radius认证失败原因传递给Portal服务器。优化CMCC Portal模块,将Radius认证拒绝(access-reject报文),中携带的reply-message信息通过CMCC Portal协议的ACK_AUTH报文传递给Portal服务器。报文发送示例如下:
2.6 DM踢线支持单独使用账号信息踢线Radius协议中的Disconnect-Request表示下线请求,通常是AAA发给bras,通知bras将用户下线。需要下线的用户信息会放在Attribute Value Pairs里,比如IP,session id等等。在过往版本中,如果Disconnect-Request报文的Attribute Value Pairs里只携带用户名,Panabit不处理下线请求。因此,优化为当Attribute Value Pairs只有用户名时,Panabit会将此用户名下所有的IP都下线。
2.7 DHCP Server在过往版本中DHCP Server最大并发是20K,当需要更大规模的DHCP服务时无法满足,因此,优化DHCP Server模块,默认用户数为20K,通过修改/etc/PG.conf文件里扩大单台Panabit的DHCP用户数。配置方法通过Console或者SSH登录后台,编辑/etc/PG.conf文件,增加DHCPCLNT_POOLSZ=N,N最大没有限制,重启后生效。
2.8 ARP代理ARP代理的原理是代替规则列表里的IP地址应答ARP请求,同时根据IP MAC列表进行数据转发。但是当发起方访问目标IP命中ARP代理规则后,如果没有目标IP的MAC信息,那么就无法转发数据了。在唐R4P6版本做出了优化,当发起方访问目标IP命中ARP代理规则中的IP后,ARP代理如果模块没有目标IP的MAC信息,会主动发起ARP请求,获取目标IP的MAC信息。
2.9 DHCP跟踪DHCP跟踪用来跟踪DHCP报文,获取IP和MAC的对应关系,通常配合无感知认证一块使用。当开启了无感知认证的MAC记忆时,用户认证成功后,IP和MAC会记录在MAC记忆列表中,当终端的IP变化了,MAC没有变化,就能通过MAC记忆列表上线,无需重新输入账号密码上线。但是在一些场景中,内网终端的IP变化频繁,且内网DHCP服务器地址回收较快,就会导致终端A更换了IP后,终端A之前使用的IP会分给终端B,由于之前的IP在Panbait上还没老化,终端B直接继承了终端A的认证状态。导致账号审计不准确的问题。
配置命令说明
floweye dhcpsnif4config wamac_sync=0|1默认为0,当wamac_sync为1时,会同步wamac模块中mac的认证状态。从数据包中获取到IP和MAC对应关系后开始比对MAC。当MAC在MAC记忆列表里时,将IP下线,再自动通过MAC记忆上线;当MAC不在MAC记忆列表里时,将IP下线,终端需要重新认证。
注意:这个参数只针对dhcpsnif4配合MAC记忆无感知认证的场景,所以在其它场景里不要开启该参数。
2.10 iWAN服务当本地账号绑定IP后,如果账号已经在线,同账号再次接入时,会从地址池里分配一个其它IP给该账号。但是在iWAN客户端承载线路是PPPOE线路时,PPPOE线路重拨后,iWAN客户端也会重拨,此时iWAN服务端重拨前的信息还没有老化,这样就会导致iWAN客户端没有获取到预期IP,导致网络问题。优化iWAN服务模块,增加refusenew参数,refusenew默认为0,当同个账号多次拨入服务端时,如果账号绑定了IP,分配同样的IP给客户端,让客户端可以正常上线。如果refusenew为1,账号绑定的IP被占用时,拒绝该客户端的连接请求。
配置命令说明
floweye sdwsvrconfig refusenew=0|1默认为0,当refusenew为1,账号绑定的IP被占用时,拒绝该客户端的连接请求。
三.界面优化3.1 在线用户页面优化【在线用户】>>【WEB认证】新增认证方式筛选
3.2 无线AC新增上传AP固件到本地升级随着无线技术的发展,AP支持很多新功能,需要AP升级版本来实现,升级一台AP不会消耗很多时间和精力,但是如果需要升级几十台、上百台AP,那么批量升级就尤为重要了,不但可以提高效率,还可以避免升级出错。目前升级方式有云端升级和本地升级,因为云端批量升级有设备通网和出口带宽充足的条件限制,所以我们SAC新增无线AP本地批量升级功能。使用方法【无线AC】>>【AP管理】>>勾选要升级的AP,点击【升级固件】 开启本地升级服务,版本来源选择本地 上传对应AP固件升级包 点击【提交】开始升级 避免升级包占用磁盘空间,升级完成后,可在升级管理里删除升级包。 AP升级固件会导致AP重启,接入该AP的用户终端网络会断开,升级AP前应道告知客户相关人员,升级可能造成的业务影响,征询客户对升级的窗口期意见。
3.3 酒店专版当设备导入酒店版授权时,页面会显示酒店专版。 注意:酒店专版不支持PPPOE接入服务、威胁情报、日志输出等功能。
四.BUG修复
一级分类二级分类模块修复
系统概况在线用户IP对象修复BSD版本中,IPv6在线IP的连接实际已经老化,但是连接还统计在在线用户里的问题。
网络管理LAN/WANPPPOE线路修复当PPPOE线路开启IPV6后,线路的物理接口断开再连接后,线路一直处于未激活状态的问题。
策略路由V4/V6转换修复在WAN接口收到NS的时候,NS请求内容匹配到前缀,没有应答NA的问题。
端口映射端口映射修复修改端口映射提交报错的问题。
V6 to V4映射修复V6 to V4映射时产生泄露导致系统性能下降的问题。
DNS管控 修复当DNS管控牵引策略的线路是WAN群组,并且群组里线路DNS为0.0.0.0时,DNS管控会执行牵引,将目标IP变成0.0.0.0的问题。
对象管理账号管理本地账号修复批量添加时,自定义的身份证信息和电话的信息丢失的问题。
RadiusRadius模块修复当radius服务器发送踢线报文,通过Session Id和frame-ip-address字段将用户下线时,Panabit没有将该IP的代拨线路一并下线的问题。
系统维护配置管理配置同步修复发送端配置同步得端口,会强制变成443,并且被同步端没有同步日志记录的问题
修复配置同步,开启/关闭 不生效的BUG
五.应用识别5.1 新增应用
一级分类二级分类应用备注
http协议Web视频豆瓣社区类的网站
梨视频资讯类视频平台
秒拍短视频分享平台
Realshort国外的微短剧软件
Lemon国外类似小红书一样的视频社交软件
Shortmax国外的短剧平台
云服务其它云服务糖豆广场舞平台使用了云服务技术,将这部分流量识别为“其它云服务”
常用协议游戏加速游帮帮加速一款游戏加速软件
软件更新火绒一款杀毒软件
网络游戏腾讯游戏三角洲行动腾讯的射击游戏
黑色沙漠MMORPG 游戏
对战平台5E对战平台CSGO游戏的一个对战平台
兰博电竞电竞赛事平台
金融财经股票交易广发易淘金广发证券下的股票查看行情交易软件
雪球证券交易APP
在线支付Paypal美国在线支付的app
5.2更新应用
一级分类二级分类应用备注
http协议Web视频好看视频
微信视频号
快手
优酷
Web视频/直播秀淘宝直播
虎牙直播
花椒
Web视频/头条小视频抖音“汽水音乐”、“抖音下载”、“抖音”特征相似,合并到抖音特征里
西瓜视频
常用协议软件更新Windows补丁
游戏维护其它游戏更新
网易更新
暴雪补丁下载
游戏加速腾讯网游加速“AK游戏加速”与“腾讯网游加速”特征一致合并为一个特征
奇游加速
赛博加速“biubiu加速器”,“CC加速器”的特征与“赛博加速”一致合并为一个特征
迅游
网络游戏腾讯游戏天堂
Steam游戏DOTA2/CSGO
第九城市奇迹世界
其它游戏/对战平台kk对战平台“UP对战平台”改名“KK对战平台”
豆客
梦想世界
流媒体 RTMP将“直播姬”的应用特征合并到RTMP
P2P下载 酷狗
社交即时通讯/腾讯QQQQ视频聊天
微信文件传输
社交媒体今日头条
金融财经股票交易富易集中交易
万得股票
六、下载地址
标准版:
FreeBSD:
Linux:
网吧版:
FreeBSD:
Linux:
ARM:
SMB版:
FreeBSD:
Linux:
专业版:
FreeBSD:
Linux:
ARM:
流媒体版:
Linux:
ARM:
页:
[1]