Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 5033|回复: 0

Panabit SMB版v22.08.29(核心代号“唐r2”)版本发布

[复制链接]
发表于 2022-8-29 17:19:25 | 显示全部楼层 |阅读模式
一. 新增功能

1. 功能简介
1.   新增VRRP功能,主要解决双机主备部署的易用性和可靠性。
2.   新增LACP功能,支持以LACP的方式进行端口聚合。
3.   新增SNMP,将SNMP集成到PanaOS内,不再是一个第三方的模块。
4.   新增网卡混合模式功能。
5.   增强TCP流量识别。
6.   AD域免认证。

2. 功能详解

2.1 VRRP

使用场景:Panabit作为出口网关,可以通过VRRP功能实现双机主备。

拓扑图:
图片1.png
两台Panabit主备部署,共用一个出口IP做NAT。由于出口IP只有1个,因此会用到VRRP联动功能。

PA1主机VRRP配置

配置LAN线路,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。
图片2.png
配置VRRP主机,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。【线路类型】选择VRRP-IPV4,LAN选择创建的LAN线路,IP为内网网关。开启VRRP抢占,将优先级设置高优先级。
图片3.png
开启VRRP状态与接口线路的联动功能。【应用路由】-【VRRP联动】在【联动接口选择】勾选配置的VRRP接口名称。只能关联一个VRRP接口。(当VRRP状态为backup时,将关闭设备所有LAN线路和WAN线路的输出;VRRP状态为master时,开启所有LAN线路和WAN线路的转发功能)
图片4.png


Pa2备机VRRP配置

配置LAN线路,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。备机LAN线路IP与主机LAN线路IP在同一网段,且不与网络中其他主机IP冲突。
图片5.png
配置VRRP接口,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。【线路类型】选择VRRP-IPV4,LAN选择创建的LAN线路,IP为内网网关与主机填写一致。开启VRRP抢占,将优先级设置低优先级。设备为VRRP备机模式。VRRP ID与主机设置相同的ID。
图片6.png
开启VRRP状态与接口线路的联动功能。【应用路由】-【VRRP联动】在【联动接口选择】勾选配置的VRRP接口名称。只能关联一个VRRP组。(VRRP状态为backup时,关闭所有LAN线路和WAN线路的输出;VRRP状态为master时,开启所有LAN线路和WAN线路的转发功能)
图片7.png

注1:
VRRP功能抢占如果不开启,默认先配置的为主,后配置的为备,断开主后,备切到主状态,主恢复后备不会切到主状态;开启后选择优先级高的为主,低的为备,主断开后,备切为主状态,主恢复后,备从主状态切到备状态。
注2:当出口IP资源充足,备机也可以分配不同的出口IP时,可以不使用VRRP联动功能。


2.2 LACP


图片8.png

以和思科对接为例

配置LACP捆绑

【系统概况】-【网络接口】点击网卡后面的编辑图标,在弹出的页面中配置。【链路捆绑组】选择任意捆绑组即可,做捆绑的网卡选择同一个捆绑组。【链路组参数】-【捆绑协议】选择【LACP】;【老化模式】:链路组协商超时时间【快速模式】为3秒、【慢速模式】为90秒;【被动模式】开启代表只接受LACP报文进行判断链路状态,关闭代表主动发送LACP报文去协商链路状态。
图片9.png

配置WAN线路测试

【应用路由】-【接口线路】添加WAN线路进行测试,网卡选择链路组任意接口。
图片10.png

配置思科交换机

配置捆绑组为TRUNK模式
图片11.png
配置接口加入捆绑组为LACP主动模式
图片12.png
图片13.png

LACP功能测试

查看交换机上链路捆绑状态
图片14.png

Panabit设备上接口线路ping测试
图片15.png
当链路组的一个接口断开后ping测试
图片16.png
图片17.png

2.3 SNMP


图片18.png

以ZABBIX为例,服务器通过SNMP协议获取到Panabit设备的cpu使用率、内存和硬盘试用率、网卡流入流出速率等信息。

配置方法:
开启SNMP功能

登录Panabit系统,在【系统维护】-【系统设置】-【SNMP服务】将SNMP访问开启,同时设置好【团体名】和【服务白名单】。
图片19.png

配置ZABBIX服务器
添加主机群组

首先添加主机群组。在【配置】-【主机群组】页面右上角【创建主机群组】添加。
图片20.png

添加主机
在【配置】-【主机】页面右上角点击【创建主机】。

【主机名称】自定义、【模板】选择模板群组Templates,并选择其中的Linux CPU SNMP,Network interfaces discovery,Linux memory SNMP等模板、【主机群组】选择上面创建的主机群组、【接口】选择SNMP,IP填写Panabit设备管理口IP、版本选择v1或者v2、在【宏】页面配置SNMP的团体名。
图片21.png
图片22.png

测试效果

配置完成后在【配置】-【主机】页面查看新配置的主机的【监控项】、【触发器】、【图形】有数据后代表通过SNMP协议获取设备信息状态正常。
图片23.png

在【监控】-【主机】点击新添加的主机的图表,选择时间可以查看到具体的统计信息。

CPUjumps:就是Process(Thread)的切换,如果切换过多,会让CPU忙于切换,也会导致影响吞吐量,值越高说明等待共享资源的线程数越多。(由Linux CPU SNMP模板产生)
图片24.png
CPUutilization:CPU使用率。(系统模板无法读取,可通过Pa设备执行floweye snmp getoid=.1.3.6.1.4.1.2021.11查看对应数据的OID,在【监控项】中配置,然后在图表调用该项目)
图片25.png
System load:系统负载处于runnable或uninterruptable状态的进程数。(由Linux CPU SNMP模板产生)
图片26.png
Memoryutilization:内存使用率。(由 Linux memory SNMP模板产生)
图片27.png
Interface XXX:系统接口线路流入和流出速率。(由Network interfaces discovery模板提供,会根据在Pa设备上创建的线路来创建相同数量的图表。XXX为线路名称当线路名称为中文时会变成????)
图片28.png
硬盘信息:获取当前系统/目录空间大小、使用空间大小、剩余空间大小等信息。(通过Pa上执行“floweye snmp getoid=.1.3.6.1.4.1.2021.9”命令获取对应的OID,然后根据对应的OID配置【监控】和【图表】)
图片30.png


2.4 网卡混合模式功能
在很多旁路分析的环境里,用户会将上下行流量混合到一个物理网卡送进来,这种场景下要区分上下行,当前只能通过设置合法IP地址段。但是当无法知道合法的IP地址段时,这个时候流量要么都统计成上行,要么都统计成下行。
为了处理这种情况,给物理网卡增加一个【混合模式】的参数,当状态为开启,并且没有设置合法IP段的时候,系统根据会话的源地址和目的地址流量来决定上下行,源->目方向为上行,目->源方向为下行,并且以会话的源地址创建内网在线用户。(TCP会话根据三次握手确定源地址,UDP会话的根据首包确定源地址)

开启方法:网络接口配置里将混合模式启用
图片31.png

总结:在旁路分析上下行流量混合镜像到一个物理网卡的环境里,只需要将网卡设置为混合模式,就能自动区分和统计上下行流量。

2.5 增强TCP流量识别
当Panabit接收到的TCP流量不完整时,比如没有收到三次握手的报文,那么这部分流量会被识别成无连接TCP。这部分流量是不会创建连接的,在连接信息里找不到它们的5元组信息。我们可以通过调整参数floweye flow  config  tcpsetup_onnosyn=1 (默认为0)来跟踪这些流量的5元组信息,并且创建会话。但是识别仍然是无连接TCP
这次的更新对无连接TCP流量做了进一步的识别改进。当调整参数增加floweyeflow  config  tcpsetup_onnosyn=2时,会增加对HTTPHTTPS特征的识别跟踪,可以增强对不完整TCP流量的协议识别率。

2.6 AD域免认证

基础说明
在网络中部署WEB认证以及AD域控的场景中,针对AD域中用户,当域用户通过域账号登录域服务之后,用户无需再次进行WEB认证,Panabit中根据用户域信息建立用户认证信息,从而直接上网。
Agent通过在AD服务上部署用户组策略代理,将用户上线、下线信息发送给Panabit。逻辑关系如图所示。
AD.png
当用户上线(登录域)、下线(注销)时,Agent将发送通知报文到Panabit。目前Panabit上提供配置命令
  
floweye adauth  config enable=<1|0> port=<x>
  
其中,enable,必须配置,开启或者关闭Agent登录功能,1为开启,0为关闭
port,可选配置,配置报文端口好,默认端口7777

  
floweye adauth  stat
  
查看运行状态

AD域服务器操作
用户Agent即为文件:PALogon.exe,使用用户组策略将此文件部署到AD服务器。
PALogon.exe (100.5 KB, 下载次数: 93)
以Windows Server2012 R2的默认用户组策略为例,配置步骤如下:
(1)  点击【开始】--【管理工具】
图片2.png
                              
(2)  点击【组策略管理】
图片3.png
(3)  右键点击【Default Domain Policy】--【编辑】
图片4.png
(4)  依次展开
【用户配置】-【策略】-【Windows设置】-【脚本(登录/注销)】
图片5.png
(5)  双击【登录】
点击【显示文件】
图片6.png
将PALogon.exe复制到此目录下
图片7.png
点击【添加】
图片8.png
点击【浏览】选择PALogon.exe
脚本参数填写:<PanabitLAN IP><通信端口号> logon
图片9.png
确定并应用确定
(6)  双击【注销】
同样【显示文件】、复制PALogon.exe,【浏览】选择操作,参数填写
<Panabit LANIP><通信端口> logoff
图片10.png

之后,确定并应用确定。



二. 优化改进

  
所属功能
  
优化项
流量控制模块
在“端口镜像“和”端口转发“动作里支持只镜像或转发会话前N个数据包;
  
当动作为阻断时,如果是ARP包文,则不做阻断。
  
新版本去掉单线DSCP标记功能。
huawei5g模块
增加对HTTP流量标记支持;
  
增加对字符串形式的手机号码支持;
  
可以将嗅探到的手机号码和本地账号用户组关联,可匹配用户组相关策略;
共享检测模块
将QQ号码、微信UID和邮件账号加入到权值计算;
PPPOE代理模块
增加PPPOE代理流量的DPI识别和控制功能,功能默认关闭;使用floweye clntpxy config  dpi_enable=1来开启该功能
DHCP模块
DHCP SERVER增加域选项。
http管控模块
TCP重置策略增加下一跳参数,可以配合LAN接口实现TCP重置。
DPI模块
默认关闭“虚拟货币”这个应用节点跟踪功能
MAC记忆模块
增加CMCCPORTAL认证成功后,马上进行记忆MAC的功能
Radius嗅探模块
除了嗅探1812和1813端口的radius报文,还可使用命令floweye radsnif config port0=N port1=M配置跟踪嗅探额外的两个自定义端口。



三.页面更新

优化
1.  增加“升级日志”页面,集中显示历史所有升级记录;
2.  页面集成SAC,无需单独安装SAC APP;
3.  增加SNMP服务的设置;
4.  增加VRRP联动的设置页面;
5.  网卡设置,增加LACP的设置,混合模式设置;
6.  PPPOE代理账号,增加在线人数参数;
7.  优化“端口映射”页面,增加“复制”端口映射的操作;
8.  升级系统”页面,增加“当前系统时间”的显示,增加升级状态的显示;
9.  新增复制WAN线路的功能,方便快速新增WAN线路;
10.  新增全局搜索功能(搜索内容目前限于页面菜单的关键字);
11.  端口映射页面增加排序功能。

BUG修复
1.  修复密码过期后无法自助修改的BUG;
2.  修复PPPOE在线用户的显示BUG。

四.BUG修复

1.   修复ESP流量没有进iWAN隧道的问题;
2.   修复huawei5g模块,计算64bit手机号码出现的问题;
3.   修复ping ipv6地址会导致crash的BUG;
4.   修复icmpV6在Linux下工作异常的问题;
5.   修复新流控修改策略序号导致策略组计数器增加的BUG;
6.   修复PPPOESVR在RADIUS认证后,重复认证同一个client不发送计费STOP数据包的BUG;
7.   修复在CMCCPORTAL认证时,Radius传递过的Session-Timeout时间达到后,不会让用户下线的BUG。

五.特征库更新

1.  修复“百度搜索”和“百度地图”识别成“百度云盘”的BUG;
2.  修复“网易邮件”识别成“网易视频”的BUG;
3.  更新“腾讯会议”协议特征;
4.  更新“飞书文件传输”协议特征;
5.  更新“九阴真经”协议特征;
6.   更新“MGCP”协议特征;
7.   更新“雷神加速“协议特征;
8.   更新“阿里通“协议特征;
9.   更新“Slack“协议特征;
10.  更新“陌陌“协议特征;
11.  更新“飞信“协议特征;
12.  更新“VV视频“协议特征;
13.  更新“KIK“协议特征;
14.  更新“Discord“协议特征;
15.  更新“嘟嘟“协议特征;
16.  更新“KakaTalk“协议特征;
17.  更新“云视讯/ZOOM”协议特征;
18.  更新“和平精英”协议特征;
19.  更新“火影使者”协议特征;
20.  更新“使命召唤”协议特征;
21.  更新“葫芦网“协议特征;
22.  更新“SausageMan”协议特征;
23.  更新“Steam游戏更新“协议特征;
24.  更新“生死狙击“协议特征;
25.  更新“实况足球“协议特征;
26.  更新“classin“协议特征
27.  更新OpenVPN协议特征;
28.  更新“FreeFire”协议特征;
29.  更新“企业微信文件传输”协议特征;
30.  更新“Tiktok”协议特征;
31.  更新“永劫无间“协议特征
32.  更新“360云盘“协议特征;
33.  更新“PPStream”协议特征;(爱奇艺会用到)
34.  更新“百度云盘”协议特征;
35.  更新“芒果TV”协议特征;
36.  更新“新浪微盘”协议特征;
37.  更新“115网盘”协议特征。

六.特征库新增

1.   新增“JSONRPC“协议特征;
2.   新增“RTPS“协议特征;
3.   新增“SVRLOC”协议特征;
4.   新增“LostArk“协议特征;
5.   新增“DTLS“协议特征;
6.   新增“苏丹的游戏”协议特征;
7.   新增“SausageMan“协议特征;
8.   新增“HiggsDomino”协议特征;
9.   新增“Supersus”协议特征;
10.  新增“Fifasoccer“协议特征;
11.  新增“实况足球“协议特征;
12.  新增“wegame下载”协议特征;
13.  新增“zerotier“协议特征;
14.  新增“Spotify”协议特征;
15.  新增“智慧教育”协议特征;
16.  新增“其它HTTPDNS”美团,快手的HTTPDNS归到此类;
17.  新增“QQ远程桌面“协议特征;
18.  去掉“天翼空间“协议特征;
19.  去掉“火影世界“协议特征;
20.  去掉“火猫TV“协议特征;
21.  去掉“灌篮高手“协议特征
22.  去掉“新浪微博APP”,合并到“新浪微博“;
23.  去掉“晓黑板“协议特征;
24.  去掉“大明龙权”协议特征;
25.  去掉“虎豹骑“协议特征;
26.  去掉“无秘”协议特征;
27.  去掉“流星蝴蝶剑“协议特征;
28.  去掉“来往”协议特征;
29.  去掉“飞聊”协议特征;
30.  去掉“刀锋铁骑”协议特征;
31. 去掉“子弹短信“协议特征。

七.版本下载: 专业版、网吧版、标准版的用户请不要下载升级!!!



您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-12-27 03:42 , Processed in 0.082031 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表