一、新增功能 1、 WAN线路支持IPv6 1.1、PPPoE WAN支持IPv6 对比PPPoE IPv4的协议交互过程,PPPoE IPv6如下示意图所示,区别主要在地址分配阶段增加IPv6相关。 配置方法: 【网络管理】>>【LAN/WAN】>>【WAN线路】中创建【线路类型】为【PPPoE】线路时,同时将【IPv6】选项置为【开启】即可。 注意:本文中提到的所有IPv6相关的功能,均需要打开【应用识别】>>【引擎参数】>>【参数设置】>>【IPv6流量识别】。
1.2、DHCPv6 WAN DHCPv6(Dynamic Host Configuration Protocolfor IPv6)是基于UDP(客户端端口号546,服务端端口号547)协议用于分配IPv6地址、前缀以及DNS等配置的网络协议。常见主要有以下几种类型: - Solicit,客户端用于发现DHCPv6服务器的位置。
- Advertise,服务器对Solicit报文进行回应,通告客户端能提供的服务。
- Request,客户端向服务端请求IPv6地址和其他配置信息。
- Reply,服务器回应客户端的Request、Renew、Information-Request等与IPv6地址、DNS、网络配置相关的报文。
对于无状态地址自动配置SLAAC(StatelessAddress Auto Configuration)使用ICMPv6中的RS(Router Solicitation,客户端请求发现网关路由器)和RA(Router Advertisement,网关路由器定时发送或响应请求)以获取得到IPv6网络前缀和DNS信息等,最终实现地址分配。 部分情况下,也会出现使用SLAAC无状态获取IPv6地址,同时使用DHCPv6 Information-Request获取DNS等其他网络配置的情况。 说明:对于可能的DHCPv6 WAN的情况,包括如SLAAC均已统一配置支持。 配置方法: 【网络管理】>>【LAN/WAN】>>【WAN线路】中添加【IPv6】分项下的【DHCP】
2、LAN线路支持DHCPv6PD DHCPv6 PD(PrefixDelegation,前缀代理)是一种前缀分配机制。通过DHCPv6前缀代理机制,下游网络设备不需要再手工指定用户侧链路的IPv6地址前缀,只需要向上游网关路由器设备提出前缀分配请求,上游网关路由器设备便可以分配合适的地址前缀给下游设备。下游设备把获得的前缀(同时也可以将前缀进行进一步的细分)再通过ICMPv6的RA路由通告至与IPv6用户主机相连的链路上,实现用户侧IPv6主机的地址自动分配。以此,实现能够统一规划管理的层次化网络结构。 使用前缀代理功能之后,在LAN线路进行SLAAC分配时,无需配置LAN线路的网络前缀,将会使用代理委派的WAN线路上获取到的网络前缀进行SLAAC分配。 配置方法: 【网络管理】>>【LAN/WAN】>>【LAN线路】中点击已经添加好的V6 LAN线路名称,在弹出界面中配置【无状态地址分配】,委派线路选择对应的V6线路即可。
3、 动态IPv6 NAT 在IPv6网络中,每个设备都被分配了一个全局唯一的IPv6地址,IPv6 NAT通过将内部设备的IPv6地址映射到另一组IPv6地址,使得内部设备可以访问外部网络,同时保护内部网络的真实IPv6地址不被外部直接暴露。 对于NAT66,在过往版本中只支持静态NAT66,根据配置的地址前缀进行替IPv6地址的替换,通常用于对转换后的地址敏感或者有要求的场景。 策略路由作为Panabit智能应用网关的独特特色,现已支持IPv6的动态NAT66,并沿用IPv4策略路由的使用习惯,满足如IPv6路由和管控、IPv6负载均衡等各种IPv6场景应用。 配置方法: 在【网络管理】>>【策略路由】>>【IPv6】中添加策略。策略中执行动作选择【NAT】,NAT线路为对应的IPv6出口。SNAT地址池支持单IP、IP网段、IP范围,多个条件之间用英文逗号“,”连接。
4、 SD-WAN支持IPv6 Panabit SD-WAN以优秀的应用识别、应用分流、自研高效传输隧道协议等为基础打造,可提供高效的虚拟专网传输、业务应用加速、应用时延检测与故障定位等服务能力。 随着IPv6的高速发展,作为SD-WAN重要组成部分的隧道传输,增加IPv6线路承载支持,在自研协议本身高性能的设计前提下,可提供线速带宽的高性能隧道,支持在隧道内传输IPv6或者IPv4的业务流量,充分提高IPv6出口线路的带宽利用率。
配置方法: ① 服务端 【虚拟专网】>>【iWAN服务】>>【服务映射】中可以选择静态、DHCP、PPPOE类型的V6线路作为iWAN服务的映射线路。 ② 客户端 【网络管理】>>【LAN/WAN】>>【WAN线路】中添加类型为【iWAN】的线路,并将选项【IPv6】置为【开启】。其中,承载线路可以为静态、DHCP、PPPOE类型的V6线路。
5、 IPv6 链路质量检测 随着Panabit支持IPv6的越来越全面,包括IPv6接入、IPv6路由和管控、IPv6负载均衡、IPv6转IPv4、IPv4转IPv6、静态NAT66、动态NAT66、IPv6 SD-WAN等功能的陆续发布,IPv6线路的链路质量检测便显得尤为重要。因此,增加IPv6 Ping监测,检测IPv6的时延、丢包等链路质量,并支持以检测结果为条件,当链路质量降低时进行告警。 配置方法: 【系统维护】>>【系统检测】>>【Ping监测】 6、TOP域名 在典型如CDN数据中心、业务系统服务区、企业出口监测等场景下,通常会需要查看实时的域名访问情况,以此作为访问根据来协助分析和判断解决业务流量异常的原因。 新增TOP域名功能,从DNS解析维度和http/https访问维度对域名访问进行展示。每个维度包含:失败的会话数、应用时延优、良、中和差的会话数,总的时延数。其中,优、良、中、差评价根据时延大小进行判断,同时支持自定义。 查看示例: 【系统概况】>>【TOP域名】 参数说明: 【系统概况】>>【TOP域名】>>【参数设置】 各参数说明如下: - 监测:启用或禁用此功能
- 域名TTL:单位秒,超过周期未有访问的记录将会删除,默认600秒
- DNS延时标准:单位毫秒,可自定义优、良、中、差四个级别的判断标准
- 应用延时标准:单位毫秒,可自定义优、良、中、差四个级别的判断标准
- 标准色设置:可自定义四个级别的展示颜色
注意:TOP域名模块需要NPM模块的启用支持,当禁用此功能时,若NPM功能之前处于使用中,建议确认NPM处于启用状态。
7、BGP支持 BGP(Border GatewayProtocol,边界网关协议)是一种用于自治系统AS(AutonomousSystem)之间的动态路由协议。作为互联网外部路由协议标准,被广泛应用于ISP(Internet Service Provider)之间。 - 与OSPF等,内部网关协议不同,设计着眼于外部网关或域间之间选择最佳路由和控制路由的传播。
- BGP建立连接的两端(Peer,对等体)之间必须逻辑上连通,目的端口号179,本地端口任意。
- 由于AS之间传递数据,对稳定性要求高,BGP使用TCP作为传输层协议,提高协议的可靠性。
- 路由更新时,BGP只发送更新的路由,大大减少传播路由所占用的带宽。
- 是一种距离矢量(Distance Vector)路由协议。
- EBGP(运行于不同AS之间的BGP),AS之间通过携带AS路径信息来标记途径的AS,带有本地AS号的路由将被丢弃,避免域间产生环路。
- IBGP(运行于同一AS内部的BGP),AS内学到的路由不再通告给AS内的BGP邻居,避免AS内产生环路。
配置示例: 目标拓扑 使用三台设备(A,B,C)搭建BGP网络,其中 - 实例中,设备B为Panabit,设备A和C为其他厂家设备
- 设备A和Panabit设备B建立EBGP
- 设备C和Panabit设备B建立IBGP
- 设备A属于自治系统AS200,Panabit设备B和设备C属于自治系统AS100
配置方法: Panabit BGP总体配置分为两个主要部分:BGP物理接口和邻居配置、路由规则转发。具体步骤如下: ① 配置物理接口信息 图中示例中使用LAN线路做互联,建立对应的网络线路。【网络管理】>>【LAN/WAN】 ② 安装【动态路由】APP ③ 添加Panabit设备B中的BGP邻居 打开APP【动态路由】>>【概况】>>【全局配置】>>【AS号】,填写对应的AS信息,并将【BGP】选项置于【开启】状态。 开启之后,【动态路由】>>【BGP】>>【添加邻居】 如示例拓扑图所示,即需要对应地添加两条。 ④ 查看邻居建立状态 【终端】输入【show protocol】查看。 BGP有六种状态,说明如下表所示。 状态 | | | | | 正在进行TCP连接,等待完成中,认证都是在TCP建立期间完成。如果建立失败则进入Active,成功则发送Open报文 | | | | TCP连接建立成功,发送Open报文,携带参数协商对等体的建立 | | 参数、能力特性协商成功,自己发送Keep alive报文,等待对方的Keep alive报文 | | 已经收到对方的Keep alive报文,双方能力特性经协商一致,开始使用Update通告路由信息 |
⑤ 策略路由 【网络管理】>>【IPv4路由/NAT】添加策略路由,执行动作选择路由,路由线路选择【动态路由选路】。 符合策略条件的流量将根据BGP生成的路由表进行转发,无法命中路由表时,将会继续按照策略路由进行转发。 效果验证: ① Panabit BGP路由表 【动态路由】>>【概况】>>【动态路由表】中查看自动生成的动态路由表。在Panabit设备B上,可以同步设备A和设备C更新发布的BGP路由信息。 ② 连通性 两台PC互相可以ping通,查看Panabit设备B上连接信息数据正常。 8、 SNMP增加OID 8.1、主备状态 新增自定义节点【hasync-status】用以表征当前设备的【主备服务】工作状态。
8.2、版本信息 新增自定义节点【panabit-version】用以提供查询设备所使用的Panabit软件版本信息。 OID | | | | |
| | | 获取示例如:TANG(大唐)r6 2024-04-18 16:12:25 |
注意:Panabit使用GB2312进行中文编码,版本信息中包含中文信息,请注意获取工具使用对应的编码格式,避免显示乱码。
9、新硬件支持 9.1、PX-7C 基础规格: 型号 | | | | | | | | | | | | | 8 * 千兆电;2 * 万兆光(国产网卡,可扩展) |
性能参考:
9.2、PX-3C 基础规格:
性能参考: 说明:PX-3C测试数据只使用4电、2光的接口完成,闲置1个电口。同时以上性能参考数据为使用Panabit内置流量测试工具floweye if sendpkt完成,该工具也曾由第三方检测公司完成与常见网络测试仪的数据一致性测试。
二、功能优化 1、 V6转V4日志 在IPv6建设过程中,不可避免依然需要IPv4的服务器对外提供服务,当外网用户使用IPv6访问服务时,便会使用到IPv6到IPv4转换的功能。为了能够对用户的访问日志进行记录,以便后续的追溯。在外网使用IPv6线路访问内网的IPv4服务时,优化日志内容记录内容,源IP记录外网用户的IPv6地址,便可以实现真实访问记录的日志溯源。 PanaLog查看示例 说明:PanaLog当前版本已支持,无需额外升级。
2、 DNS重定向性能提升 以全新的实现方式实现DNS重定向(牵引)功能,提升DNS重定向性能的同时,降低内存的消耗,并且不消耗NAT的连接数。由此,提供一些全新的CLI命令参数 命令 | | floweye dnsdr config ttl=N | 设置DNS请求最大保留时间(秒),该时间内未收到DNS响应,则认定为超时 | floweye dnsdr traceip=x.x.x.x | 设置某个内网IP的DNS重定向执行过程情况,使用floweye dmesg list输出查看 |
3、 MAC记忆用户量提升 MAC记忆用于在跨三层网络使用Portal认证的场景中完成用户无感知认证的效果,默认支持用户量为16K。在大型会议等用户量特别巨大的场景下,不 一定足够。因此,在Panabit配置文件【/etc/PG.conf】中增加【WAMAC_POOLSZ】参数,用于指定MAC记忆最大可支持的MAC数量。 参数 | | | number为10进制数值,最大记忆MAC数量,默认为16384 | | file path为MAC对象备份文件存储的绝对路径,默认为/usr/ramdisk/tmp/wamac.txt |
注意: /etc/PG.conf为PanaOS系统配置文件,修订后需重启PanaOS生效。
4、 TCP会话DSCP标签 DSCP(DifferentiatedServices Code Point,差异化服务代码点)是IP数据包头部的一个字段,用于定义数据包的服务质量(QoS)级别和优先级,对流量进行分类和标记,由此,网络转发设备可以区分类型的流量,并提供差异化的网络转发服务(简单示例如:语音应用标记优先级高,网络设备优先转发,降低应用的服务响应时延)。这种分类使得设备能够更好地管理流量,并确保关键或高优先级的数据能够在网络中以最小的延迟和丢包率传输。 在部分网络设备实现NAT功能时,会根据DSCP的不同而出现差异,因此,在使用Panabit对应用流量打上相应的标签时,需要确保会话的一致性。过往版本中,DSCP标签在流量控制策略中基于数据包实现,无法确保会话一致性。 优化TCP会话修改DSCP标签的逻辑,针对客户端到服务端的发起方向,将确保同一会话数据包均有一致的标签。
5、 IPSec支持PFS PFS(Perfect Forward Secrecy,完善的前向安全性)是IPSec的一种安全特性,一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥之间没有派生关系。作为IPsec的可选协商,PFS通过在IPSec的阶段2中SA协商阶段重新进行一个DH交换来实现。 IPSec SA的密钥从IKE SA的密钥导出,由于一个IKE SA协商生成一对或多对IPSec SA,当IKE密钥被窃取后,攻击者可能收集足够多的信息来导出IPSec SA密钥,PFS通过一次额外的DH交换,以此来保证IPSecSA密钥的安全。 配置方法: 【虚拟专网】>>【IPSEC】添加IPSEC线路时,在【IPSEC ESP策略】中可以选择指定【PF组】,默认【不指定】。 说明:通常PFS不需要指定,若是指定,请确认两端配置组的一致性。
6、 DPI引擎 当前一些浏览器(如:Chrome等)新版本使用了TLS新的特性,在访问TLS资源时,增加了Key share参数,该参数通常比较大(典型的通常超过1000字节),由此,导致SNI(Server Name Indication,服务器名称指示)出现在第二个报文。改进DPI引擎以兼容TLS新特性。
三、界面优化 1、管理接口IPv6 【系统维护】>>【系统设置】>>【管理接口】配置IPv6地址和前缀。
2、组织架构 【对象管理】>>【账号管理】>>【组织架构】优化呈现。
3、 版本检查 【系统维护】>>【系统升级】>>【更新检查】,可定时检查是否有新版本,并通过【系统通知】的方式进行通知,默认均处于【关闭】状态。
四、BUG修复 一级分类 | | | | | | | | | 解决未在伪IP防护合法列表中的IP被创建对象的问题 | | | | | | | | | | 解决IPSec服务端使用变长子网掩码作为兴趣流时协商失败的问题 | | | | | | | | | 解决GREWAN、IPSec WAN保存信息时索引参数缺失的问题 | | | 解决NAT设置中线路选择动态路由之后,无法修改为其他线路的问题 | | | | | | 解决IPv6到IPv4转换中,VLAN不正确的问题 | | | | | | | | 解决自定义协议,关联域名时,没有自动绑定自定义协议的问题 | | | | | | | | | | | | |
五、应用识别 1、新增应用
2、更新应用
3、删除应用 无
六、下载地址
标准版:
专业版:
网吧版:
SMB版:
流媒体:
|