Panabit核心代号“唐r7p7”版本发布
1 新增硬件1.1 PX9C
型号
PX9C
基本描述NG-TAP系列
CPU国产化X86 CPU
网络接口千兆电管理口*1,GE电口*8,GE光口*8,10GE口*6
1.2 PX25C
型号PX25C
基本描述PX系列Panabit智能应用网关
CPU国产化X86 8核CPU
网络接口千兆电管理口*1,GE电口*2,GE光口*4,10GE光口*4
其他支持支持扩展插槽*2
1.3 PX42C
型号PX42C
基本描述PX系列Panabit智能应用网关
CPU国产化X86 16核CPU
网络接口千兆电管理口*1,GE电口*2,10GE光口*8
其他支持支持扩展插槽*2
1.4 PX60
型号PX60
基本描述PX系列Panabit智能应用网关
CPUX86 CPU
网络接口千兆电管理口*1,GE电口*2
其他支持支持扩展插槽*8
2 新增功能2.1 PPPoE Server支持IPv61、功能概述Panabit TANG r7p7新增支持PPPoE v6,当Panabit作为PPPoEServer时,可为PPPoE客户端分配IPv6地址,助力用户实现IPv6联网。2、场景与需求
[*]IPv6双栈需求
Panabit专业版支持VBras功能(支持64K用户),作为PPPoE Server大量应用在小区、园区、公寓、酒店等场景,随着IPv6部署逐步普及,越来越多的终端设备需要获取IPv6地址以实现双栈通信。
[*] IPv4线路连接数不足
近年来,受互联网政策调整、运营商跨省结算机制变化及PCDN整治力度加大的综合影响,运营商对IPv4外网线路的连接数限制日趋严格。为缓解IPv4连接数瓶颈、提升用户体验并降低宽带成本,构建IPv6网络平面已成为当务之急。3、解决方案PPPoE服务支持IPv6无状态地址分配,PPPoE客户端可同时获得IPv4/IPv6双栈接入权限。
[*]发现阶段:
设备为用户分配接入的Session ID,用来标识一条用户与设备之间的PPPoE虚拟链路。
[*]链路协商阶段:
设备会发送LCP报文来检测链路的可用情况,如果可用则建立成功,否则失败
[*]认证阶段:
链路建立成功后,会根据PPP帧中的选项来判断是否需要验证,需要则进行验证,验证成功则进行最后的网络协商阶段,否则直接进入网络协商阶段。
[*]网络层协议阶段:
协商PPP报文的网络层参数,如IPCP、IPv6CP等。PPPoE Client主要通过IPCP协议来获取IPv4地址。
说明:当前PPPoEv6服务仅支持SLAAC无状态方式下发客户端IPv6地址。4、配置方法【宽带准入】>>【组织架构】>>【+添加用户组】,在用户组配置需要下发的IPv6地址池: 说明: 【IPv6地址】支持配置IPv6前缀地址,用于BRAS的IPv6地址分配的前缀长度≤64;【IPv6 DNS】最多支持填入两个地址,用英文逗号隔开,地址池未配置IPv6 DNS时默认下发以下公共v6 DNS ;240c::6666(中国下一代互联网中心公共DNS),2400:da00::6666(百度公共DNS)。【宽带准入】>>【账号管理】>>【+添加】本地账号,在上述配置的用户组中增加用户账号:【宽带准入】>>【PPPoE】>>【参数设置】中启用PPPoE接入服务:【宽带准入】>>【PPPoE】>>【服务列表】>>【+添加】PPPoE Server,开启IPv6服务,填入上述IPv6地址池的配置:5、常见问题
[*]PPPoE客户端无法获取IPv6地址
如客户端为路由器及终端,需检查客户端IPv6协议栈是否已启用。如客户端为Panabit,需检查客户端IPv6流量识别及WAN线路中的IPv6开关是否开启。Panabit的PPPoE拨号WAN线路,如果获取不到IPv4地址,无法获取IPv6地址,配置地址池时需配置IPv4相关配置。
[*] Panabit作为BRAS设备无法识别下发的IPv6地址
检查【应用识别】>>【IPv6流量识别】是否为开启状态。检查PPPoE服务IPv6配置是否为开启状态。
3 功能优化3.1 DPI引擎协议节点管理优化1、功能概述Panabit TANG r7p7优化协议节点管理功能,新增以下指令:清除指定应用/应用组/协议已跟踪到的节点、创建动态节点(动态节点不写入配置文件,重启后自动失效)、指定支持的最大节点数。2、场景与解决方案Panabit自研DPI引擎支持节点跟踪特性,轻松支持单机400G流量下的DPI应用识别,用户反馈过往版本中对DPI节点跟踪管理运维较为困难,当应用/应用组/协议的DPI识别跟踪到的错误节点时无法快速清除,导致后续流量仍可能被误匹配。当临时测试节点与实际业务节点混合并存情况下难以区分,手动清理烦琐,容易产生大量无效数据;针对上述问题,Panabit TANG r7p7对协议节点管理功能进行了如下优化:
[*]增加节点清除操作
过往版本中,若需清除应用、应用组或协议下已跟踪的节点,需等待系统自动老化,响应速度较慢,影响运维效率。在r7p7版本中,运维人员可通过Web界面执行清除指令,快速删除指定应用/应用组/协议下的所有跟踪节点和动态节点,并立即让后续连接不再命中这些节点,从而提升故障处理和测试验证的效率。
[*]新增动态节点创建
过往版本中,无论是临时测试节点还是长期业务节点,节点创建后会直接写入系统配置文件。这种方式导致测试完成后,需要手动删除测试节点,否则会长期占用系统资源。且频繁写入配置文件,也会增加设备存储和读取的压力。在r7p7版本中,新增动态节点创建模式。运维人员可根据测试需求创建,该类节点不写入配置文件,仅在设备运行期间生效,设备重启后自动消失。既减少了手动清理的工作量,避免测试节点堆积产生的无效数据,同时降低了配置文件的读写频次,提升系统运行效率。
[*]指定支持的最大节点数
过往版本中,系统未对节点总数进行限制。在大规模网络环境或长时间测试场景下,节点数量可能持续增长,可能出现DPI识别速度变慢问题。在r7p7版本中,支持自定义设置系统最大节点数阈值。当节点数量达到设定阈值时,系统将自动停止新节点的创建。运维人员可根据设备型号、网络规模和业务需求,灵活配置合理的阈值范围,既能保证正常业务节点的创建需求,又能避免因节点过多导致的设备性能下降,保障系统长期稳定运行。3、配置方法(1)节点清除Web上输入指令:floweyenode config clearapp=app-name/app_group_name①建立静态节点后: ②在Web执行清除指令: ③已跟踪到的节点会被清除,但是不影响建立的节点: (2)建立动态节点①Web上输入指令:floweyeusernode add ip=xxx port=xxx app=app-name dyn=1 ②使用指令:floweye node list查看,动态节点已建立 ③协议和节点管理界面下看,该动态节点不显示:
④使用清除指令后,动态节点和跟踪到的节点均会被清除:
说明:使用指令前,相关应用/应用组/协议需存在于Panabit上。协议节点管理相关参数
名称命令参数备注
添加静态节点floweye usernodeadd ip=xxx port=xxx app=xxxip:节点IPport:节点端口app:应用/应用组/协议名称
指定支持的最大节点数floweye bootenvset name=NODE_POOLSZ val=xxxval:支持的节点数量重启后生效
查看节点配置floweye node stat
查看所有节点floweye node list
查看静态节点floweye usernodelist只显示手动配置的非动态节点
3.2 SR支持全路径状态和SLA1、功能概述Panabit TANG r7p7优化SR报文,支持检测全路径状态。2、场景与解决方案用户反馈过去版本中,当Panabit作为主控设备时,仅能检测第一跳设备的运行状态。若第一跳设备正常,但后续第二跳及之后的中间设备出现故障,系统无法感知异常,仍会按照原SR路径转发报文,进而导致业务中断、数据丢包,无法满足高可用网络场景的需求。Panabit TANG r7p7对SR机制进行了深度优化,采用独立于用户业务的保活报文传输全路径状态信息,既不影响现有SR业务的正常运行,又能实现故障的秒级感知。当路径中任意一跳设备出现异常时,系统会立即触发SR切换,保障业务连续性。 并加入丢包率统计,用户可查看指定/全部SR的丢包情况。后续版本会根据实际应用反馈进行进一步的优化。
3、配置方法所有SR具体相关配置请参考《Panabit分段路由功能配置指南》。
说明:SR最多支持6跳。丢包情况与实际网络情况及连接设备相关,其余网络设备会影响实际统计。SR相关参数:
名称命令参数备注
查看SR的丢包率信息floweye segrt listall hdr=2loss:丢包率
3.3 SRlinks字段支持特殊值且不校验唯一性1、功能概述Panabit TANG r7p7优化SR报文,SRlinks字段支持特殊值且不校验唯一性。2、场景与解决方案用户反馈前几个版本中,SRlinks字段校验唯一性影响了实际的CPE(用户终端设备)下发。企业需通过批量预配置模板,一次性为多台待上线CPE完成SR、路由、流控/限速策略等配置。此时CPE尚未实际接入网络,既未生成真实的iWAN ID,也无对应的具体SRlinks信息。若严格执行唯一性校验,预配置流程会直接中断。Panabit TANG r7p7新增SRlinks特殊值“0”规避唯一性校验:运维人员在批量预配置阶段将待上线CPE的SRlinks字段统一配置为“0”,系统会自动跳过该字段的唯一性校验。且不影响已上线设备的正常SRlinks唯一性校验逻辑,避免对现有业务造成干扰。3、配置方法【虚拟专网】>>【iWAN客户端】>>【+添加】,线路类型选择【iWAN-SR】,在转发路径填入对应的SRlinks字段:
说明:所有SR具体相关配置请参考《Panabit分段路由功能配置指南》。
3.4 动态IP群组(支持IPv6)数由256增为5121、功能概述Panabit TANG r7p7优化动态IP群组,用户可创建数量由256个增加为512个,且优化了IPv6地址查询与显示。2、场景与解决方案用户反馈在过往版本中,系统在多设备IPv6组网场景下存在明显短板:支持IPv6的动态IP群组上限仅为256个,限制了大规模设备的接入与策略部署。IPv6地址查询结果和显示内容不符合预期,运维人员无法快速定位设备IPv6地址信息,降低了排障效率。Panabit TANG r7p7对动态IP群组的IPv6支持进行了专项优化:将支持IPv6的动态IP群组上限从256个提升至512个,直接翻倍的群组容量满足了多设备场景的分组管理需求,且变相提升了设备接入IPv6网络的规模上限。修复了IPv6地址的输入输出、格式解析错误等问题,确保IPv6地址的完整识别与精准匹配;同时优化显示界面,让运维人员能够快速清晰地查看相关信息,提升故障排查与日常运维效率。
3.5 热点对接学术标识1、功能概述Panabit TANG r7p7优化热点对接功能模块,支持识别城市热点下发的学术标识。对接程序完成热点接入认证后,会自动将带有该标识的终端IP、账号信息等添加到指定动态IP群组。2、场景与解决方案用户反馈此前版本在特定学术场景与城市热点对接后,缺乏对带学术标识账号的流控和日志审计能力。Panabit TANG r7p7采用以下方案解决该问题:先在Panabit上预配置用于存放带学术标识账号的动态IP群组,系统将自动为其分配唯一ID,将该ID同步至热点对接程序;完成城市热点接入认证后,Panabit会自动接收终端IP、账号信息等关键数据,并将带学术标识的终端信息自动添加至该ID对应的指定动态IP群组,实现统一分组管理。
说明:对接完成后,传来的数据包中已带上动态IP群组ID,属性为Remark。
说明:带学术标识的IP自动放置于指定动态IP群组。目前还未添加自动删除功能。运维人员可基于该动态IP群组配置带宽限制、流量优先级等流控策略,精准管控网络资源。同时系统可对群组内所有终端的网络行为进行集中日志审计,满足合规管理需求。
热点对接相关参数:
名称命令参数备注
开启对接热点floweye drcomconfig enable=10:关闭1:打开
修改对接端口floweye drcomconfig port=X
3.6 会话日志增加标记1、功能概述Panabit TANG r7p7优化会话日志数据格式,新增“处置动作”字段,用于标记会话是否被阻断,实现与Panalog、NTM等设备的联动分析。2、场景与解决方案用户反馈之前版本缺乏会话日志的状态标识,日志数据与Panalog、NTM等设备无法有效联动,运维人员难以快速筛选出被阻断的异常会话,无法完全满足自动化的安全审计与异常溯源需求。Panabit TANG r7p7在会话日志里增加了一个字段“处置动作”,当为1的时候表示此会话被阻断。如果会话中没有deny标记,则会话日志中不包含该字段信息。Panalog、NTM可直接读取“处置动作”字段的标记信息,支持运维人员快速筛选、统计被阻断的会话数据,实现异常流量的精准定位与溯源;同时标准化的字段格式提升了日志数据的可读性与兼容性,为自动化安全分析提供了数据支撑。
3.7 流控多时段生效1、功能概述Panabit TANG r7p7优化流量控制策略组,新增多时段生效能力,允许为单个策略组直接设置多个生效时段,无需重复创建策略组。2、场景与解决方案用户反馈在过往版本中,流量控制策略组仅支持配置单一连续生效时段,在实际运维场景中存在局限:当企业需要让同一套流控策略在多个时段生效(如工作日的早高峰、晚高峰,或每周的特定日期时段)时,运维人员必须创建多个相同但不同生效时段的策略组,再将相同的流控策略重复复制到各个策略组中。这种操作不仅占用大量系统配置资源,还会导致策略维护成本高,修改策略时需逐个更新所有关联策略组,可能出现不同时段策略配置不一致的问题。Panabit TANG r7p7在流控策略组的生效时间配置界面,新增多时段添加入口,运维人员可直接为单个策略组设置多个不连续的生效时段(如 08:00-10:00、18:00-20:00),满足差异化的时段管控需求。同一套流控策略只需绑定到一个策略组,即可在预设的多个时段自动生效;后续策略调整时,仅需修改一次策略内容,所有关联时段同步生效,大幅降低配置和维护的工作量。3、配置方法【行为管理】>>【流量控制】>>【+添加策略组】中添加所需策略组: 【行为管理】>>【流量控制】选择需要多时段生效的策略组进行编辑,添加需要生效的时间段:
说明:不允许在其他生效时段中添加完全一致的时间段。流控策略组相关参数:
名称命令参数备注
添加策略组生效时段floweye newpolicyconfig group=grp-nametime=month,startday-endday,starthour:startmin:startsec-endhour:endmin:endsec
删除策略组生效时段floweye newpolicyconfig group=grp-namermvtime=month,startday-endday,starthour:startmin:startsec-endhour:endmin:endsec
获取策略组时段列表floweyepolicygroup2 get name=grp-name time=1不显示默认时段
3.8 Syslog告警外发增加设备编号1、功能概述Panabit TANG r7p7对告警Syslog外发功能进行优化,支持在Syslog报文内容中自动携带设备编号等设备唯一标识信息,便于告警平台精准识别来源设备。2、场景与解决方案企业在多分支网络架构中,会在各分支出口部署Panabit设备,并统一配置网络告警策略;同时自建告警平台,通过接收Panabit外发的Syslog告警信息实现集中展示与管理。但在过往版本中,Panabit外发的Syslog告警仅包含告警内容本身,未携带设备编号等唯一标识,导致告警平台无法区分该告警来自哪个分支的哪台Panabit设备。分支数量较多时,运维人员需逐个登录设备排查告警来源,定位效率极低;告警平台无法按设备维度统计、分析告警数据,难以实现精细化的设备运维与故障溯源。Panabit TANG r7p7优化Syslog报文结构逻辑,新增设备标识字段。Panabit 外发的每条Syslog告警报文会自动在固定字段中嵌入设备编号(12位编号)等标识信息,不改变原有告警内容结构,兼容用户现有告警平台与Panalog解析逻辑。用户自建的告警平台与Panalog可直接解析Syslog报文中的设备编号信息,快速定位告警所属分支设备,支持按设备维度筛选、统计告警,大幅提升多设备告警管理的效率与精准度。3.9 iWAN二层隧道优化1、功能概述Panabit TANG r7p7针对iWAN二层隧道的流量调度策略、多端口聚合能力、整机性能进行全方位优化,满足某海外算力中心互联场景下的高带宽、低损耗、灵活分流需求。2、场景与解决方案企业通过iWAN二层隧道打通远端算力中心与分支节点的网络互联,但在实际应用中,iWAN Client侧所有流量默认进入二层隧道转发至算力中心,无法针对特定业务流量(如本地内网通信、低优先级访问流量)配置“旁路转发”策略,导致非必要流量占用隧道带宽,影响核心业务传输效率。部分场景需实现100G级隧道传输性能,但传统单端口iWAN隧道受限于单网卡带宽与服务器单核处理能力,无法充分利用多核多队列优势;服务端侧无法通过RSS(接收端扩展)将流量分发至不同处理队列,性能无法线性扩展。启用iWAN二层隧道后,设备出现明显的整机性能下降,表现为CPU占用率过高、转发时延增加、吞吐量降低,无法满足高负载场景下的稳定运行需求。Panabit TANG r7p7针对上述问题推出三项核心优化措施:
[*]新增Client侧流量旁路转发策略
在iWAN Client中新增匹配豁免规则,开启此开关后指定的流量将根据路由策略直接走本地出口转发,无需经过隧道封装/解封装流程,减少隧道带宽占用与设备处理压力。
[*]支持单iWAN隧道多端口聚合与RSS适配
实现单隧道绑定多传输端口的能力,数据包可通过多个端口并行发送,突破单物理端口带宽瓶颈,为100G级隧道性能提供基础。优化隧道报文封装格式,在报文中携带流标识信息,服务端侧可基于该标识通过RSS技术将不同流的报文分发至不同 CPU 队列并行处理,实现隧道性能随端口数量线性扩展。服务端:允许映射端口使用单个端口/“-”连接的端口范围【端口范围≤100】。 客户端:允许映射端口使用单个端口/“-”连接的端口范围【端口范围≤100】。
[*]优化隧道转发性能,降低整机资源损耗
优化隧道转发内核逻辑,减少报文在设备内部的转发路径与缓存开销,提升转发效率;同时优化内存管理机制,避免因隧道流量过大导致的内存泄漏与性能衰减。
iWAN隧道相关参数:
名称命令参数备注
指定iWAN客户端流量直接匹配路由开关floweye iwanbrgconfig l3fwd=1开启:1;关闭:0;开启后指定流量不经过iWAN隧道
3.10 Radius属性中携带用户的VLANtag1、功能概述Panabit TANG r7p7支持在Radius认证流程下(包含Challenge认证),将Radius报文中的VLAN信息解析并存储至IPOBJ(派网认证临时信息缓存区),再通过Radius协议同步转发至AAA服务器,实现VLAN信息的完整传递。2、场景与解决方案用户反馈现场组网中,BRAS设备未采用Portal协议传递用户VLAN信息,仅在Radius报文中携带该信息,此前版本无法完成该场景下VLAN信息的解析、存储与转发,导致AAA服务器无法获取用户VLAN信息,影响后续基于VLAN的网络策略管控与用户身份识别。Panabit TANG r7p7针对BRAS未通过Portal协议、仅在Radius报文传递用户VLAN信息的场景,针对性优化Radius认证交互逻辑,适配场景需求,且同时支持Challenge认证:
[*]解析Radius报文VLAN信息
在Radius认证流程中,自动识别并解析BRAS侧下发Radius报文中携带的用户VLAN信息,完成数据提取。
说明:Panabit在Radius认证中的响应报文已带上用户VLAN,且支持双层VLAN;单VLAN属性为vlanid,双层VLAN属性为vlanid(内层)、vlanid2(外层)。
[*]IPOBJ本地存储
将解析后的VLAN信息精准存储至IPOBJ指定字段,保障数据暂存的稳定性与关联性。
[*]Radius协议转发至AAA
在与AAA服务器的Radius认证交互中,将IPOBJ中存储的VLAN信息封装至对应Radius报文,同步传递至AAA服务器,实现VLAN信息的端到端完整流转。
Radius认证相关参数:
名称命令参数备注
开启后使用用户的VLAN值发起Raidus认证floweye cmccwpconfig useipvlan=01.默认值为0,不开启该功能2.IPOBJ中用户VLAN信息存在,但是不会使用该VLAN发起Radius认证,仍旧是通过Portal报文中传递的VLAN信息发起Radius认证3.如果Portal不携带VLAN信息,则发起Radius报文也不携带VLAN信息
floweye cmccwpconfig useipvlan=11.开启后才会使用IPOBJ中的VLAN信息发起认证2.优先使用IPOBJ中的VLAN信息发起认证,忽略Portal报文中的VLAN信息
获取用户使用的VLANfloweye ipobj getIP | grep vlan
4 界面优化4.1 页面增加关闭vMGTPanabit TANG r7p7在【系统维护】>>【系统设置】>>【管理接口】>>【vMGT】新增关闭按键选项:
4.2 页面增加手动校时Panabit TANG r7p7在【系统维护】>>【系统设置】>>【管理接口】>>【系统时间】新增NTP服务器IP地址选项及校时按钮:
4.3 自定义协议组页面,增加选中内容标注Panabit TANG r7p7在【应用识别】>>【自定义协议组】>>【+添加】自定义协议组时,若选择协议已被其他协议组选择,则该协议前有蓝色圆圈标注:
5 BUG修复
序号模块修复
1路由/NATWAN线路VLAN配置保存异常
2IPv6路由/NAT配置丢失
3代拨/认证解决私有化SAAS返连,组织架构页面异常的问题
4解决通过Portal报文传递VLAN信息时发送Radius报文中携带VLAN异常
5策略配置/应用识别威胁情报修复CTELIP类型IOC不命中的问题
6网卡抓包时间戳不对
7DHCPDHCP服务分配IP
8虚拟专网iwan和SR统计的流入速率不应为0
9iWAN服务映射网关MAC改变,业务不通
10硬件EX12K重启后机器码可能变化的问题
11AX150系列硬件LACP不生效
12解决FreeBSD共享检测页面异常的问题
6 应用识别
6.1新增应用
一级分类二级分类应用备注
1常用协议网络安全VPN增加13个代理软件特征
2游戏加速DF加速游戏网络优化工具,主打全平台支持、双专线低延迟与FPS硬件优化
3网络游戏腾讯游戏二重螺旋英雄游戏旗下潘神工作室研发的高自由度幻想冒险动作角色扮演游戏
4荒原曙光灵犀互娱开发的冷兵器生存建造手游
5其它游戏>>对战平台80对战平台专为魔兽争霸3打造的怀旧RPG联机对战平台
6STEAM游戏人渣是Gamepires与Croteam联合开发的硬核开放世界PvP、PvE生存模拟端游
7P2P下载PCDN其它PCDN融合P2P与CDN技术的分布式内容分发网络,核心靠用户闲置带宽/存储做节点,配合边缘服务器调度,适合大文件下载、视频点播/直播、游戏更新等场景,成本显著低于传统 CDN
8社交即时通讯>>AI应用灵光蚂蚁集团推出的全模态通用AI助手
9可灵AI快手自研的DiT视频生成大模型,主打文生/图生视频、视频续写与高清创作
10HTTP协议Web视频薏米短剧掌阅科技开发运营的移动端短剧聚合与播放平台
6.2更新应用
一级分类二级分类应用备注
1常用协议游戏维护网易更新网易游戏的更新
2腾讯游戏补丁腾讯Wegame平台里面的游戏更新
3网络安全VPN更新5个代理软件特征
4HTTP协议 Web视频腾讯视频腾讯旗下的在线视频媒体平台,聚合了热播影视、综艺娱乐、体育赛事、新闻资讯等内容资源
5网络游戏-武林群侠传河洛工作室开发、智冠科技发行的PC武侠RPG
6腾讯游戏天命西游北京林果科技开发、恒煜科技运营的Q版3D自由视角西游题材MMORPG端游
7鸣潮广州库洛科技开发的跨平台开放世界动作RPG
8网易游戏 漫威争锋网易自研并发行的免费6v6第三人称超级英雄团队PVP射击端游
9STEAM游戏 堡垒之夜由EpicGames开发和发行的在线视频游戏及游戏平台
10社交即时通讯钉钉钉钉是阿里巴巴集团打造的企业级智能移动办公平台
11商业系统-全时云会议全时(G-Net)推出的企业级SaaS云视频会议平台
12腾讯会议腾讯云旗下的云视频会议产品
七、下载地址
标准版:Linux:
网吧版:
FreeBSD:
Linux:
ARM:
SMB版:Linux:
专业版:
FreeBSD: Linux:ARM:
流媒体版:Linux: ARM:
:lol有动静了,专业版啥时候更新 pyslan 发表于 2026-2-4 16:51
有动静了,专业版啥时候更新
已更新
页:
[1]