Panabit核心代号“唐r7”版本发布
一、新增功能1.1.iWAN二层交换1.1.1.应用场景iWAN二层交换用于在公共网络上建立的隧道(iWAN)内,实现异地终端的二层网络交换,达到类似“专线”或“虚拟网线”效果。说明:1、iWAN内建立一台虚拟L2交换机,实现基于MAC地址的寻址转发;2、标准版不支持此功能,请升级Panabit版本至专业版。实现原理iWAN 服务端建立并维护接入客户端的ARP表项,将服务端的本地物理端口与iWAN客户端组成虚拟二层局域网。 参数释义:
序号参数备注
1ID策略序号
2本地VLAN802.1Q VLAN标签
3端口类型本地端口,iWAN server端的物理端口;远程端口,接入iWAN server 的iWAN客户端;
4端口模式TAG模式,从端口进入的数据包必须携带对应的VLANID,从端口出去的数据包也会打上对应的VLAN ID。UNTAG模式,从端口进入的数据包不能携带VLAN,从端口出去的数据包也不会携带VLAN。
5流入速率当前端口流入速率
6流出速率当前端口流出速率
7MAC当前VLAN学习到且未老化的MAC地址
1.1.2.二层转发在【网络配置】>>【LAN/WAN】>>【WAN线路】>>iWAN类型WAN线路中新增二层转发选项。新增参数:功能开关、本地网卡、本地VLAN、转发VLAN。 参数释义:
序号参数备注
1二层转发开启/关闭客户端二层转发功能
2本地网卡选择客户端参与二层转发的本地物理网卡
3本地VLAN配置VLAN ID,可以为0,当报文携带的VLAN是【本地VLAN】,且目标MAC与LAN/WAN线路不同的MAC,将被iWAN隧道转发到iWAN服务器端。
4转发VLANiWAN服务端会根据转发VLAN,自动添加为对应VLAN的远程端口。
1.1.3.配置举例1、业务需求① 上海分公司视频监控需回传至总部监控系统② 广州分公司PC需访问总部服务器资源③ 监控业务与访问服务器二层VLAN隔离2、配置思路设备配置分为四个部分:a) 转发VLAN规划
序号名称iWAN转发VLAN
1监控业务100
2服务器业务10
b) 北京服务端配置
序号名称步骤项备注
1北京服务端配置互通性配置WAN/LAN线路
iWAN服务配置配置iWAN服务配置服务映射
iWAN用户配置用户地址池配置iWAN用户账号
iWAN交换开启iWAN二层转发【虚拟专网】>>【iWAN交换】>>【参数配置】>>开启>>确定添加监控VLAN 【添加】>>【VLAN】100、【端口】eth0、【端口模式】Tag模式添加服务器VLAN【添加】>>【VLAN】10、【端口】eth1、【端口模式】Untag模式
c) 上海客户端配置
序号名称步骤项备注
2上海客户端配置
互通性配置WAN/LAN线路
iWAN线路添加iWAN线路服务端IP/端口、iWAN账号/密码、开启二层转发、本地网卡【填写eth2】、本地VLAN【0】、转发VLAN【100】
策略路由添加上网路由:目的IP【any】、线路【WAN线路】、动作【NAT】的策略路由
d) 广州客户端配置
序号名称步骤项备注
3广州客户端配置互通性配置WAN/LAN线路
iWAN线路添加iWAN线路服务端IP/端口、iWAN账号/密码、开启二层转发、本地网卡【eth3】、本地VLAN【30】、转发VLAN【10】
策略路由添加上网路由:目的IP【any】、线路【WAN线路】、动作【NAT】的策略路由
1.2.iWAN分段路由(SR路由)1.2.1.应用场景iWAN作为PanabitSD-WAN解决方案的关键技术,由于其高度的灵活性和超高的转发性能,越来越多的SD-WAN运营客户作为核心技术方案进行部署组网。为了进一步提升如下应用需求:1)多租户:以SDWAN运营为目的的网络内,分支节点的IP地址不可避免地会出现重复情况,无法以路由的方式转发数据。2)数据保密性:当前CPE接入到POP点后,POP点需要对数据包进行解包处理,无法满足用户数据保密性需求。
1.2.2.实现原理Panabit在现有iWAN组网技术基础上特地引入了分段路由(Segment Routing,以下简称SR)技术,SR是一种根据事先设定好的转发路径(Path)来转发数据包的路由技术,SR技术有以下特点:1)数据包的转发是基于事先设定好的路径,路径就是一段段(Segment)连接起来的有序的Segment List,路径是全局唯一的。2)中间转发节点(POP点)只依据数据包中的路径来转发数据包,不对数据包做更深层次的解包处理,POP点不关心数据包的任何payload,payload可以是传统的IP包,也可以是非IP包。路径的全局唯一性和POP点不解包特性,完美地解决了多租户及用户数据泄密担忧问题。
说明:标准版不支持此功能,请升级Panabit版本至专业版。
分段路由特性:1)分段标识CPE和POP,POP和POP之间的连接称为分段(Segment),为了标识该分段,给每个分段赋予一个唯一的标识,这个标识称之为分段ID。 注意:分段标识在运营网络内的Panabit不能重复,分段标识字段设置范围为【1-232】 2)转发路径(Routing Path)。转发路径就是由若干个分段标识组成的一个有序的分段标识列表,按照列表数值的排列顺序不同而不同,所以“2,4,7”和“7,4,2”是两条不同的转发路径。 注意:1、目前Panabit支持的最长SR转发路径为6条:2、Panabit的SR会话数据基于分段标识转发,为保证数据私密性,SR数据经过的中间Panabit节点内无法在TOP用户内查看SR会话。
1.2.3.配置举例内容服务商通过Panabit设备搭建SD-WAN网络,为接入的用户业务加速、异地互联等业务。对有异地互联业务需求的用户提供最近的接入POP点信息和分配的【线路标签】,各分支和总部通过iWAN接入SD-WAN网络。通过配置分段路由实现异地互联。 (1)业务需求① 北京上海广州建设POP运营网络② 武汉客户PC需要访问西安客户PC③ 武汉客户PC需要访问长沙客户PC④ 任意POP节点故障一台不影响客户业务(2)SR路由规划
业务名称优先级业务路径分段路由转发路径
武汉-西安主链路武汉-广州—成都-西安1-7-11
备用链路武汉-北京-上海-西安2-4-9
武汉-长沙主链路武汉-广州—成都-长沙1-7-12
备用链路武汉-北京-上海-长沙2-4-10
(3)配置思路配置主要分为两个部分:POP点(4台),CPE(2台)服务端配置POP节点配置数据类似,下文以北京POP节点配置为例进行说明
序号名称配置类别配置项备注
1北京POP基础配置连通性配置WAN/LAN线路
iWAN服务iWAN服务配置iWAN服务、服务映射
iWAN用户用户地址池、武汉iWAN用户账号
iWAN互联POP互联-上海【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为4
POP互联-广州【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为3
POP互联-成都【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为5
结果验证互联检查【系统概况】>>【在线用户】中确认互联Panabit的iWAN账号是否在线。
客户端配置
序号名称配置类别配置项备注
1武汉CPE基础配置连通性配置WAN/LAN线路
iWAN互联POP互联-北京【网络设置】>>【WAN/LAN】>>添加北京iWAN线路>>分段标识设置为2
POP互联-广州【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为1
iWAN SR转发路径SR转发路径-西安主【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】1,7,11
SR转发路径-西安备【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】2,4,9
SR转发路径-长沙主【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】1,7,12
SR转发路径-长沙备【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】2,4,10
SR路由武汉-西安主【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:8080>>【执行动作】路由>>【路由线路】
武汉-西安备【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:8080>>【执行动作】路由>>【路由线路】
武汉-长沙主【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:443>>【执行动作】路由>>【路由线路】
武汉-长沙备【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:443>>【执行动作】路由>>【路由线路】
结果验证数据转发验证策略路由顺序检查
西安客户端配置
序号名称配置类别配置项备注
1西安CPE基础配置连通性配置WAN/LAN线路
iWAN互联POP互联-上海【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为9
POP互联-成都【网络设置】>>【WAN/LAN】>>添加成都iWAN线路>>分段标识设置为11
iWAN SR转发路径SR转发路径-武汉主【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉主>>【线路类型】iWAN-SR>>【转发路径】11,7,1
SR转发路径-武汉备【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉备>>【线路类型】iWAN-SR>>【转发路径】9,4,2
SR路由武汉-西安回指路由主【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉主
武汉-西安回指备【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉备
结果验证数据转发验证策略路由顺序检查
长沙客户端配置
序号名称配置类别配置项备注
1长沙CPE基础配置连通性配置WAN/LAN线路
iWAN互联POP互联-上海【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为10
POP互联-成都【网络设置】>>【WAN/LAN】>>添加成都iWAN线路>>分段标识设置为12
iWAN SR转发路径SR转发路径-武汉主【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉主>>【线路类型】iWAN-SR>>【转发路径】12,7,1
SR转发路径-武汉备【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉备>>【线路类型】iWAN-SR>>【转发路径】10,4,2
SR路由武汉-西安回指路由主【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉主
武汉-西安回指备【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉备
结果验证数据转发验证策略路由顺序检查
1.3.IDS入侵检测入侵检测(IDS)是一种网络安全技术,主要用于监测网络或系统中可能存在的入侵行为,帮助用户检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出告警或阻断。1.3.1.实现原理IDS入侵检测引擎根据内置规则库对PanaOS预选流量进行检测,对匹配的异常会话生成日志告警或阻断指令到Panaos进行流量阻断。 支持型号开启IDS功能需要消耗较多内存及单独的处理单元,目前支持以下硬件型号:
IDS支持型号AX40、AX120、AX10KPX7C、PX30CPX6Z、PX7S
1.3.2.功能特点1)业务数据转发无延迟IDS检测引擎为旁路并行处理架构,业务数据转发无延迟,兼顾网络安全与网络转发性能。 说明:1、Panabit IDS使用独立管理平面运行,不影响正常业务数据转发;2、标准版不支持此功能,请升级Panabit版本至专业版。
2)七层应用DPI+入侵检测IDS利用Panabit七层应用识别优势,对日常流量占比较高的网络视频、应用下载、游戏类等流量Bypass处理,提高IDS检测速度和检测效率。
说明:内置的白名单对无需检测的数据报文进行过滤。
名称参数
查看过滤白名单floweye paids list
添加白名单应用floweye paids config appenable=
删除白名单应floweye paids configappdisable=
3)安全强大的实时监控和防御能力内置15大类常见的网络威胁特征,快速发现异常行为,及时发出警报,使组织能够迅速采取措施应对可能存在的信息泄露或攻击风险。
类型内容
漏洞(Vulnerability)是指信息系统中存在的、可被利用的安全缺陷。攻击者可以通过这些漏洞获得未经授权的访问权限,或造成其他损害。
木马(TrojanHorse)一种恶意软件,通常伪装成合法程序诱骗用户安装。一旦激活,它可以窃取信息、破坏数据或允许攻击者远程控制受感染的计算机。
Web攻击(WebAttack)指针对网站或Web应用的安全威胁,如SQL注入、跨站脚本(XSS)、文件上传漏洞等,目的是盗取敏感数据、篡改网页内容或中断服务。
恶意攻击(MaliciousAttack)泛指所有出于恶意目的而实施的攻击行为,包括但不限于病毒传播、数据盗窃、服务中断等。
扫描(Scanning)攻击者使用自动化工具探测目标系统的开放端口、服务及存在的漏洞,为后续的攻击做准备。
非法访问(UnauthorizedAccess)指未经授权擅自进入计算机系统或网络的行为,常通过利用漏洞或猜测密码等方式实现。
病毒(Virus)一种寄生型的恶意软件,附着于正常程序之中,当宿主程序运行时激活,可自我复制并传播到其他程序或文件中,造成破坏或信息泄露。
蠕虫(Worm)一种能够独立运行并通过网络传播的恶意软件,不需要附着在其他程序上,常用于消耗带宽、破坏系统或传播其他恶意软件。
后门(Backdoor)攻击者在系统中留下的秘密入口,以便日后未经正式授权再次进入系统。有时开发者也会故意设置后门以便维护。
拒绝服务攻击(Denial ofService, DoS)通过大量无效请求使目标服务器过载,导致合法用户无法访问服务。分布式拒绝服务攻击(DDoS)则是由多台被控制的计算机同时发起攻击。
跨站脚本攻击(Cross-SiteScripting, XSS)攻击者通过在Web页面中插入恶意脚本代码,当用户浏览该页面时,恶意脚本将在用户的浏览器中执行,可能导致敏感信息泄露或会话劫持。
恶意软件(Malware)泛指所有设计用来损害计算机系统、收集敏感信息或未经用户同意执行操作的软件,包括病毒、木马、蠕虫等。
设备安全(DeviceSecurity)指保护硬件设备及其操作系统免受物理损坏、未授权访问和其他安全威胁的技术和策略。
缓冲区溢出(BufferOverflow)当程序试图向缓冲区写入超出其容量的数据时发生的一种编程错误。攻击者可以利用这种漏洞执行任意代码、篡改数据或导致程序崩溃。
注入攻击(InjectionAttack)攻击者将恶意代码插入到程序的输入数据中,当程序处理这些输入时,恶意代码被执行。常见的类型有SQL注入、命令注入等。
4) 用户自定义IDS规则库编排设备默认对全部流量进行全量规则匹配,支持用户自定义规则组对特定五元组流量进行筛选检查,提高IDS威胁检测效率,降低设备性能消耗。5)自动绑定空闲处理单元开启IDS APP时,优先使用设备空闲处理单元,如无空闲单元则绑定管理单元。
1.3.3.下载安装应用商店在线安装 注意:1、需要管理口(MGT)支持访问互联网;2、管理口配置可用的DNS服务器。
1.3.4.离线安装官网下载:https://download.panabit.com:9443/app.php
1.3.5.首次使用规则库升级入侵防御APP>>【设置】>>【规则库自动升级】>>【自动同步规则库】>>【启用】
说明:同步成功后显示最后一次同步时间。绑定IDS处理单元后开启IDS功能入侵防御APP>>【设置】>>【参数设置】>>【运行CPU核心】>>【2】入侵防御APP>>【设置】>>【参数设置】>>【入侵防御】>>【开启】
注意:1、当设备有当前空闲可用核心时,IDS自动运行在空闲核心;2、无空闲核心时复用管理单元0时,设备可能出现WEB页面管理较慢情况。
1.3.6.功能界面“威胁概况”页面显示当前IDS运行情况 注意:1、IDS处于关闭状态,在“报文统计”中会显示“入侵防御检测关闭”;2、设备可用内存少于1024M时,可能导致IDS App启动失败, “报文统计”中会显示为“内存不足,入侵防御模块无法启动”。
“命中分布”页面用于显示日志的分布情况,分别基于“源ip”、“目的ip”、“规则类型”、“规则名称”、“严重性”进行统计
“检测详情”页面用于显示日志的详细信息,可以基于“时间”、“源IP”、“源IP”、“目的端口”、“目的IP”、“传输协议”、“规则名称”、“规则类型”、“严重性”进行过滤查看 “威胁详情”可以查看该规则的描述信息
1.4.主动DNS域名解析1.4.1.应用场景过往版本中,Panabit需要使用管理口对系统内配置的域名进行解析,存在以下问题:1)管理口无法访问DNS服务器时,无法解析域名为IP 2)无法指定特定线路实现域名解析;3)iWAN服务端使用动态公网IP线路时:服务端线路重播(服务端IP变更),iWAN客户端未及时更新服务端IP导致客户端无法上线问题。1.4.2.解决方案新增miniDNS模块,解决Panabit内配置域名时无法解析或非预期线路解析问题。
名称参数
从指定WAN线路解析域名floweyeminidns add name=域名 proxy=wan线路名称
查询minidns模块域名解析结果floweyeminidns get name=域名 proxy=wan线路名称
查看minidns所有域名解析结果floweye minidns list
修改minidns域名解析的缓存时间floweyeminidns config ttl=xxx
说明:mini DNS为独立解析模块,不更新域名路由等DNS缓存
1.5.DHCPv6有状态地址分配1.5.1.应用场景DHCPv6客户端向DHCPv6服务器发送配置申请报文(申请包括IPv6地址、DNS服务器地址等参数),服务器根据策略返回携带相应配置信息的报文。解决方案 DHCPv6交互地址分配过程如下:1)DHCPv6客户端发送Solicit报文,请求DHCPv6服务器为其分配IPv6地址和网络配置参数。2)DHCPv6服务器回复Advertise报文,通知客户端可以为其分配的地址和网络配置参数。3)如果DHCPv6客户端接收到多个服务器回复的Advertise报文,则根据Advertise报文中的服务器优先级等参数,选择优先级最高的一台服务器,并向所有的服务器发送Request组播报文,该报文中携带已选择的DHCPv6服务器的DUID。4)DHCPv6服务器回复Reply报文,确认将地址和网络配置参数分配给客户端使用。IPV6地址分配相关功能1.5.2.配置举例【网络管理】>>【LAN/WAN】>>【LAN线路】中点击已添加的V6 LAN线路:1)配置【DHCPv6地址范围】,填写可用的IPV6客户端地址范围即可。2)【地址分配】修改为开启状态。3)如需指定VLAN分配DHCPv6,在【分配VLAN】中输入指定的VLAN ID。
注意:本文中提到的所有IPv6相关的功能,均需IPV6识别功能为开启状态。开启方式为【应用识别】>>【引擎参数】>>【参数设置】>>【IPv6流量识别】
二、 功能优化2.1.SLAAC支持多VLAN同时下发IPv6地址应用场景客户存在多个内网VLAN需要使用SLAAC地址分配IPV6地址时,之前版本需要每个内网VLAN创建一个LAN口,当内网VLAN比较多时需要创建较多LAN接口,配置较为繁琐。解决方案优化SLAAC主动发送RA报文的机制。如果无状态地分配(【WAN线路】>>外网线路)中配置一段VLAN范围,Panabit将对配置的所有内网VLAN的都发送一次RA报文。
2.2.DHCPv4WAN线路支持Option应用场景IPoE接入业务是一种接入认证业务,通常利用DHCP+OPTION扩展字段方式作为终端鉴权使用,也被称为DHCP+认证。解决方案DHCP v4类型WAN线路支持Option12、Option61、Option60选项
说明:1、获取IPOE认证数据方式:Panabit网桥部署在光猫与机顶盒之间,利用网卡抓包方式获取DHCP报文;2、查看DHCP request报文中的对应Option字段。
2.3.支持配置IPv4本地链路地址应用场景某运营商客户设备,需要在LAN/WAN添加169.254.1.1的IP地址,添加该地址时Panabit提示错误IP。地址段定义与用途根据RFC3927定义,169.254.0.0/16地址段被定义为本地链路地址(Link-local address),用于在没有DHCP服务器或DHCP获取失败时,主机自动配置IP地址进行本地通信。解决方案【网络设置】>>【LAN/WAN】>>支持配置169.254.0.0的IP地址2.4.微信认证流程优化客户场景Panabit网桥模式部署时微信认证无法正常使用解决方案在webauth功能中增加noack选项,当noack=1时,panaos不对80端口的TCP握手报文应答,而是放行TCP握手的报文,让目标服务器进行应答。说明:Panabit网桥部署微信认证时,需要开启noack选项,floweye webauth config noack=1
2.5.优化端口映射配置导入客户场景在某IDC场景中,用户需要一次性导入10万条端口映射配置,导入端口映射策略时超时失败。 解决方案针对端口映射策略导入逻辑进行优化:1)支持文件方式导入端口映射配置;2)支持端口映射导入失败时配置自动回滚:当加载导入映射配置出现错误时,自动回滚至原配置。
2.6.共享限速模块优化客户场景某高校项目网络分为办公及宿舍区,师生在办公区上网时提供上网计费策略(20M带宽、免费),宿舍区为计费策略(200M带宽、收费)。为客户使用便利性,同一账号支持3个终端登录。可能存在账号同时在办公区及宿舍区在线的情况,需要Panabit根据用户IP地址+计费组+用户账号为条件创建不同计费属性的限速策略。解决方案Panabit接收认证系统计费报文后,将用户IP地址+计费组信息+账号信息进行关联,实现不同计费属性的单用户差异限速策略。Panabit接收到计费组信息后,在【在线用户】的【账号备注】显示信息为“账号@classid”。
2.7.代拨地址池,内层QINQ支持VLAN范围客户场景客户某运营商代拨项目要求PPPoe客户端接入时需携带QinQ双层VLAN,创建代拨线路时外层标签为固定值,内层VLAN在特定范围(800-4000)随机使用。解决方案1)代拨地址VLAN选项支持10/100-1000(内层VLAN区间为800-4000)格式2)当内层VLAN配置为VLAN区间时,Panabit代拨在选择内层VLAN时会根据账号选择区间内的某个VLAN TAG,3)为了确保内网VLAN与账号的一致性,相同代拨账号将固定绑定到相同内层VLAN。
2.8.DNAT功能优化客户场景某互联网数据中心客户使用Panabit作为网络集中调度设备,为满足溯源要求,需Panabit配置DNAT时仅对目的IP地址进行修改,保持源IP地址不变。解决方案【策略路由】>>【DNAT】>>新增“不改变源地址”参数。
2.9.优化域名群组匹配算法应用场景客户使用Panabit域名路由时,需要配置单个域名群组内导入10万+条域名,出现以下问题:
[*]导入域名条目较多时可能出现超时无法导入问题
[*]精确匹配后缀域名时需要重复添加两次后缀
解决方案解决方案
[*]优化域名群组匹配算法,避免短域名导致的冲突问题。
[*]在域名里引入“@”字符,@panabit.com可以匹配www.panabit.com和panabit.com
1、域名群组匹配为后缀匹配原则域名群组标识符
示例字符类型备注
例1无字符.panabit.com时匹配pa.panabit.com、pb.panabit.com等
例2无字符panbit.com时匹配apanabit.com、bpanabit.com等
例3^字符^pa.panabit.com时精确匹配pa.panabit.com,pb.panabit.com则不能匹配
例4@字符效果等同于^panabit.com"与".panabit.com"
2.10. 连接信息支持按照IPv6前缀查询应用场景某客户校园网使用Panabit对接IPv6用户认证设备,认证系统在认证报文中仅同步用户v6前缀地址。导致在Panabit【TOP用户】中无法直接查看当前v6地址对应网络连接。解决方案【TOP用户】>>【连接信息】页面中的 IP 选项框支持IPv6地址前缀模糊搜索。
2.11. 用户地址池支持IPV6应用场景某高校客户根据需要在TOP用户内实现基于IPV6地址前缀关联用户组属性解决方案Panabit用户组属性中新增:IPv6地址字段在【对象管理】>>【账号管理】>>【组织架构】>>【添加用户组】>>【IPV6地址】支持配置IPv6前缀地址、前缀长度
2.12. 携带IPv6本地链路地址时用户无感知上线失败客户场景客户网络为IPv4环境,用户终端默认启用IPv6,终端自动生成fe80本地链路地址,当使用IPv6本地链路地址认证时无感知上线失败,使用IPv4地址时正常上线。解决方案Panabit创建内网IP对象忽略IPv6本地链路地址
2.13. iWAN和L2TP客户端的域名解析优化客户场景iWAN客户端和L2TP客户端的服务器地址支持配置为域名,当前版本Panabit域名解析需要利用管理口对域名进行解析,存在以下问题:1)如果管理口无法访问DNS服务器时,无法完成域名解析;2)无法指定特定线路实现域名解析;3)服务端使用动态公网IP线路时:服务端线路重播(服务端IP变更),iWAN客户端使用原IP拨号导致iWAN无法上线问题。解决方案iWAN客户端和L2TP客户端内配置的域名由当前承载线路进行解析。
2.14.单个SSID最大接入终端数支持254个单个SSID最大STA数由127提升至254。
2.15.流媒体支持高码流超清频道客户场景随着对视频清晰度要求的提升,当前视频码流存在多种规格(标清4M、高清8M、超清12M),播放超清频道时可能存在马赛克、花屏、卡顿问题。解决方案为满足客户对超清视频节目的需求,适配不同码率的视频。新增IPTV_BITRATE 参数默认参数为1024(表示8Mbps码率)。默认为8M码率时,配置单个输入频道占用Panabit设备16M内存。配置码流为16M时,配置单个输入频道将占用Panabit设备32M内存。
注意:内存消耗超出可用内存时可能导致PanaOS系统无法启动。
三. 界面优化3.1.支持Panabit系统日志导出检索特定周期日志后点击导出按钮,可以导出特定日期内Panabit生成的系统日志。
3.2.新增WEB应急恢复页面应用场景为满足行业标准规范及提升设备安全性,升级Panabit系统后会自动关闭SSH功能,导致极端情况下的设备维护难以远程维护。解决方案当WEB管理界面加载失败时自动打开WEB应急恢复页面,利用应急恢复页面开启SSH进行Panabit设备维护。说明:Panabit为转发、管理双平面架构,WEB管理页面打开失败不影响业务数据转发。
3.3.LAN/WAN接口导出优化应用场景Panabit设备最大支持4000+条WAN/LAN线路,当出现较多线路中断时,运维人员无法快速导出中断线路。解决方案为解决运维便利性问题,在Panabit LAN/WAN 菜单支持导出当前筛选条件的线路。
3.4.MAC重复绑定提示应用场景用户设置对MAC对IP进行绑定时,相同MAC绑定多个IP不能提示“MAC已绑定”。解决方案新增MAC地址如在【行为管理】>>【IP/MAC绑定】>【已绑定MAC】中存在时,提示“MAC已绑定,是否继续添加”
3.5.批量账号导入异常应用场景在【账号管理】>>【本地账号】批量添加本地账号时,可能导致身份信息字段丢失。解决方案问题已修复。
3.6.删除重复引用IP群组时无提示应用场景如果某IP群组中被引用多次引用,【对象管理】>>【IP群组】中删除此群组无提示“已引用策略删除操作确认”解决方案问题已修复。
四.BUG修复
序号模块修复
1告警模块告警模块将对“AuthTimeout” 事件不做告警
2LAN/WANDNS代理配置丢失
3告警模块告警超过2048后不告警
4告警模块线路名称带()特殊字符导致不告警问题
5威胁情报配置多个白名单对象,重启panaos,只有id为1的白名单对象会被保存,其余均丢失
6ipobj模块在BSD版本中,ipobj list中的会话连接数和get ip中的数量不一致
7iWANiWAN服务端回包的BUG
8流量控制行为管理--流量控制的v4条件匹配异常
9OSAX10K设备导入配置PanaOS无法正常启动
10会话管理在线用户不支持删除ipv6会话
11WEB UI用户密码使用特殊字符导致登录白名单失效
12radsnifradsnif模块port参数配置加载异常
13域名负载修改域名负载线路时域名负载策略丢失
14域名跟踪域名跟踪策略引用主线路中断时,备线路未生效
五、下载地址
标准版:
FreeBSD:
Linux:
网吧版:
FreeBSD:
Linux:
ARM:
SMB版:
FreeBSD:
Linux:
专业版:
FreeBSD:
Linux:
ARM:
流媒体版:
Linux:
ARM:
{:3_55:}ax100不支持 1.2.iWAN分段路由(SR路由) 这一块配置举例是不是写的有问题?麻烦作者检查确认一下。 lzj1995 发表于 2025-1-6 23:59
1.2.iWAN分段路由(SR路由) 这一块配置举例是不是写的有问题?麻烦作者检查确认一下。
感谢提醒,已修正! sking9988 发表于 2025-1-7 18:02
感谢提醒,已修正!
似乎还是存在问题,请继续检查:handshake lzj1995 发表于 2025-1-8 03:32
似乎还是存在问题,请继续检查
已修正
页:
[1]