一、新增硬件:AX51
1.1 设备规格
型号 | AX51 | | | | | | | | | | 千兆电管理口*1,2.5G电口*2,GE Combo口*2 |
1.2 设备性能
二、新增功能
2.1 LAN线路二层交换(LAN Switch)
Panabit TANG r7p6新增LAN线路二层交换(LAN Switch)功能。Panabit因单网卡硬件特性,各物理网卡默认独立存在,现可通过LAN Switch将多个独立物理网卡逻辑组合为一个LAN口。不仅解决了过往Panabit版本中二层无法互通、不同接口设备仅能跨网段访问的痛点,还整合了二层交换+三层转发双能力,提供更简洁的局域网拓扑与更高效的设备互联方案。
二层交换是数据链路层的核心技术,本质是基于MAC地址表对数据帧进行高速转发,无需经过三层路由转发,可实现同一网段内设备的低延迟互访,同时避免集线器(HUB)的广播风暴问题,是构建高效局域网的基础技术。它不依赖IP地址,可适配以太网、Wi-Fi等多种局域网接入方式,兼容IPv4与IPv6终端设备。
1、客户场景
Panabit因单网卡独立设计,客户需求将多网卡组合为一个LAN口,满足本地二层互访与跨网三层转发需求。
分支办公室内有电脑、打印机、IP电话等设备,需实现本地文件共享、打印机共用;同时需访问总部服务器、与其他分支传递数据。
某企业通过将所有设备划分到同一个LAN,结合与总部建立的SD-WAN,不仅实现分支互通,还实现了与总部的三层路由转发,数据按需跨网段传输。
展会、临时项目组等场景,需快速搭建临时网络,让笔记本、投影仪、移动设备等本地互联;同时需连接互联网或企业内网获取资源。
某发布会负责人需求能通过Panabit快速配置,设备接入后自动处于同一网段,再通过物理接口关联WAN线路。临时站点设备既能本地互访,又能通过三层转发访问外部网络,满足了“即插即用”的临时组网需求。
企业内部根据楼层划分不同区域(如办公区、财务区、访客区),同一楼层设备需二层互访,不同楼层或外部网络需三层转发。
某企业客户使用Panabit作为核心管控设备,需求办公区域内同一层所有设备能够互访,同时需要不同楼层局域网的互通以及连接外网。
2、解决方案
Panabit可通过将多个物理接口逻辑配置为同一个LAN口,完成分支内部设备互访。再在二层交换组之上创建三层线路,支持与其他线路的三层转发,完成多分支互访。
r7p4之前版本的Panabit:不支持将多个物理口加入相同LAN口实现二层无法互通。
r7p4中我们增加LAN Bridge功能:使不同物理接口逻辑上划入同一LAN口,但连接的设备终端只能访问网关,不同设备之间仍需要跨网段互访。
Panabit TANG r7p6版本新增LAN线路二层交换功能:通过将多个物理接口逻辑划分到同一二层交换组,作为LAN线路接口;并且多个物理接口之间可以配置为同网段,同时满足二层互相转发。即Panabit可配置为二层交换机使用,满足用户对于多场景多功能的需求,方便同时进行多设备管理,且不影响之前版本的LAN三层转发功能,同时兼顾二层、三层的不同需求。对比项 | LAN Bridge(r7p4 版本) | LAN Switch(r7p6 版本) | | 多独立物理网卡逻辑划分为同一Bridge作为LAN口 | 多独立物理网卡逻辑划分为同一二层交换组作为LAN口 | | | | | | | | | | | 与LAN Switch共存时,优先级低于LAN Switch | 与LAN Bridge共存时,优先起效,可完全替代 |
此外,Panabit TANG r7p6 新增的LAN线路二层交换功能,可完全替代原有的LAN Bridge功能。若需两项功能同时配置,二层交换功能优先生效。 3、配置方法 【网络设置】>>【网卡设置】>>选择网卡>>【二层交换组】,将Panabit上需要实现二层互通的设备接入的物理接口统一逻辑归入同一二层交换组: 【网络设置】>>【网卡设置】>>【交换组】,可查看交换组具体信息: 【网络设置】>>【LAN/WAN】>>【LAN接口】>>【添加】LAN线路时,网卡应当选择对应交换组而非指定的物理接口: 当网卡已归入二层交换组,创建LAN/WAN线路时选择指定网卡会报错:
LAN线路二层交换相关指令说明: 名称 | 命令参数 | 备注 | | floweye if set eth1 swgrp=1 | 将多个物理接口划入同一交换组(swgrp),实现二层交换功能(默认swgrp=0为禁用,需指定非0值,如1)。 |
| floweye swgrp list [mac|grp|if|vlan] [debug=1] | |
| floweye swgrp get grp=<grpid> | | | floweye nat addrtif ... [disable_dpi=1] [disable_policy=1] |
| | floweye nat setrtif ... [disable_dpi=0|1] [disable_policy=0|1] | |
2.2 攻击防护模块 Panabit TANG r7p6新增攻击防护模块,结合精准的攻击识别引擎与高效的智能拦截策略,精简功能架构,更深度地适配IPv4/IPv6双栈网络环境,更全面地覆盖主流网络攻击场景。不仅解决了传统网络防护中误报率高、性能损耗大、攻击类型覆盖不全等痛点,还为客户提供了更可靠方便的网络安全保障方案。 攻击防护模块是针对网络层常见恶意攻击的专项防护组件,可精准识别并拦截畸形报文攻击、流量型DoS/DDoS攻击(Denial of Service,拒绝服务,攻击 形式为通过发送海量的请求或数据包,耗尽目标服务器或网络链路的资源,使其无法为正常用户提供服务),避免海量冗余报文因占用目标设备的网络带宽与处理资源,导致正常业务不可用。该模块不依赖第三方安全设备,直接集成于Panabit核心管控流程中,适配骨干网、数据中心、企业出口等多类部署场景。 1、客户场景 随着业务数字化转型加速,公网暴露面扩大,面临的网络攻击风险激增,需求Panabit在现有管控体系中新增攻击防护能力,重点抵御畸形报文、各类Flood攻击,并全面支持IPv4/IPv6双栈环境。 Panabit TANG r7p6新增攻击防护模块可基于网络流量特征实时触发防护策略。在业务入口面向公网、多节点多终端接入等场景中,能以轻量化架构快速部署,保障网络安全与业务连续性。 企业互联网出口若直接对接公网,易遭受黑客发起的攻击。传统防护方案大多依赖独立防火墙,存在配置复杂、与核心管控设备联动性差的问题,且对畸形报文识别精度不足,易出现误拦正常业务报文的情况。 企业可通过Panabit TANG r7p6在互联网出口开启畸形报文防护用于实时监测出入站流量中的异常报文结构,系统会根据预设策略立即执行丢弃或限速处理,同时生成详细的攻击日志供管理员追溯分析。管理员可根据企业实际业务模型灵活调整防护力度,在保障核心业务不受攻击干扰的同时,避免过度防护对网络性能造成额外负担,实现安全防护与业务体验的平衡。 数据中心边界安全防护数据中心承载着大量核心业务服务器,需面对来自内网或外网的Dos攻击(如ICMP Flood、UDP Flood等)。传统防护手段多采用简单流量限流,容易在攻击高峰期误限制正常业务流量,且无法精准识别隐蔽的畸形报文攻击,可能导致服务器资源耗尽或业务数据泄露。 数据中心可通过Panabit TANG r7p6实现服务器集群的网络管控,当外部攻击者发起攻击时,攻击防护模块实时监测ICMP、UDP、SYN等报文发送频率,超过预设阈值后自动启动防护策略。并通过精准的DPI、流量模型分析,拦截目标为核心业务端口的攻击流量,确保正常业务的稳定运行。 政务网对外服务节点需向公众提供7×24小时服务,易成为攻击目标,畸形报文可能携带恶意代码,Flood攻击(Dos攻击的常见形式)会导致服务响应缓慢甚至瘫痪。传统防护方案对IPv6环境下的攻击识别支持不足,且TCP标志合法性校验规则僵化,难以适配政务网复杂的业务报文特征。 政务服务平台可通过部署Panabit TANG r7p6的攻击防护模块,防止攻击者发送畸形报文干扰业务系统。攻击防护模块通过动态更新的协议合规规则库,精准识别并拦截该类畸形报文;后续遭遇针对平台端口的Flood攻击时,模块可结合政务服务的业务时段特征,智能调整防护阈值,既保障了服务可用性,又避免了请求被误拦。 2、解决方案 根据用户需求,Panabit TANG r7p6新增攻击防护模块,采用智能识别+灵活拦截的双层机制实现高效防护。主要针对SYN Flood、UDP Flood、ICMP Flood、ARP Flood、TCP报文标志合法性、Ping of Death、超大ICMP报文等攻击类型的特征进行精准识别,并可结合网络场景需求优化防护策略,平衡防护效果与系统性能。进一步提高了抗D(DDoS)能力和流量清洗能力。 Panabit TANG r7p6攻击防护模块通过以下机制实现全面防护,同时优化资源占用,确保核心管控功能不受影响。 模块内置动态协议合规规则库,支持实时更新IPv4/IPv6协议规范,针对畸形报文的头部异常、字段非法、长度超标等特征进行多维度校验。 1)TCP标志合法性校验:严格遵循RFC协议标准,拦截“SYN+FIN”、“SYN+RST”、“FIN+URG”等明确非法的标志组合; 2)超大报文检测:对ICMP等协议的报文长度进行严格检查。一旦发现超过指定长度标准的报文(范围为28-65535字节),立即判定为超大ICMP报文攻击并进行丢弃; 3)Ping of Death检测:超大ICMP报文的一个特定变种。模块会识别那些意图通过发送超过IP协议规定最大长度(65535字节)的报文来触发目标系统缓冲区溢出的攻击行为,并进行拦截。 报文进入模块后先进行头部解析,再匹配标志位、长度等规则,最后结合业务白名单判断是否拦截,全程处理延迟极低,不影响正常业务转发效率。 针对三类主要的流量型攻击,模块采用特征识别+智能限流+源追踪的组合策略进行防护: 1)SYN Flood防护:通过监测半连接会话队列长度、源IP发送频率、端口分布特征,智能区分恶意攻击与正常连接请求。对异常源IP采取临时封禁、动态限速等措施,同时利用SYN Cookie等机制,在不消耗大量服务器资源的情况下验证连接的合法性,避免影响业务接入; 2)ICMP Flood防护:基于ICMP报文类型(如Echo Request)、目的IP分布、发送间隔等特征,识别海量冗余报文。对超过阈值的异常流量进行丢弃或限速,同时精确放行正常的ping检测、路径MTU发现等合法ICMP报文,保障网络诊断功能不受影响; 3)UDP Flood防护:结合端口用途、报文负载特征,判断UDP报文是否为业务所需。对目标为非业务端口的海量UDP报文进行拦截;对业务端口(如DNS、NTP)的流量在带宽保障的前提下进行优先级调度,并可识别DNS/NTP放大攻击等变种,确保核心业务不受攻击影响。 针对局域网内的ARP攻击,模块提供专门的防护机制——ARP泛洪抑制(ARP Flood Suppression):实时监控网络中ARP报文的发送速率。当ARP请求或应答报文的数量超过设定阈值时,系统会自动对该端口或源IP的ARP报文进行限速,防止ARP风暴消耗网络带宽和设备CPU资源。 攻击防护模块通过按需启用+资源动态分配的机制,降低对Panabit核心性能的影响: 1)灵活部署:支持按VLAN、业务网段灵活启用或禁用针对不同攻击类型的防护功能,仅对高风险区域的流量进行深度检测,减少无关流量的处理开销; 2)深度融合:防护策略与Panabit核心管控流程深度融合,共享流量转发通道和会话表项,避免对报文进行重复解析和处理,相较于独立部署的安全设备,资源占用率降低40%以上。 模块架构: Panabit TANG r7p6攻击防护模块构建了一个更全面、智能且高效的网络攻击防御体系,能够精准识别并有效拦截多种网络威胁,为用户的核心业务稳定运行提供坚实保障。 3、配置方法 模块 | 对象 | 功能 | 说明 | | | | 检查TCP报文头部的标志位组合是否符合TCP协议标准 | | ICMP类畸形报文攻击,针对接收的超出IP协议规定长度限制的ICMP Echo Request(ping 请求)报文 | | | | | | | | | |
【安全防护】>>【攻击防护】>>【基础配置】可选择畸形报文防护模式: 【安全防护】>>【攻击防护】>>【高级配置】>>【添加策略】可设置针对不同攻击类型下单源目IP接收报文的上限个数和总阈值,再选择告警或是丢弃: 【安全防护】>>【攻击防护】>>【当前攻击】>>选择【防护类型】来查看设备当前的防护日志用于排查问题: 【安全防护】>>【攻击防护】>>【历史攻击】>>选择【防护类型】来查看设备过去的防护日志用于审计: 2.3 安全策略模块 Panabit TANG r7p6新增安全策略功能,核心在于基于会话(session-based)的访问控制列表(ACL,Access Control List,是一种基于预设规则过滤网络流量的核心技术)技术,通过多元组精细化管控、双栈原生适配、动态联动防护与可视化审计的深度融合,更灵活地适配多场景网络安全防护需求。该策略仅提供“deny”(拒绝)和 “pass”(放行)两种明确动作,只在会话创建之前或会话的应用识别类型发生改变时触发规则匹配。这种设计不仅从源头上避免了一些不必要的会话攻击,还因为匹配时机的优化和动作的简化,实现了更优的性能。 该功能有效解决了传统安全策略中规则冲突频发、配置烦琐、适配性不足、审计困难等痛点,并通过整合智能管控与动态响应能力,为客户提供更全面、高效的网络安全保障方案。 Panabit TANG r7p6的安全策略是基于网络流量的源IP地址、目的IP地址、协议类型、端口号、访问时间等多元条件制定的会话级ACL集合管控。它能够精准管控定向流量,并支持IPv4/IPv6双栈环境,从而有效抵御外部攻击、隔离内部风险、保障核心资源访问安全。 1、客户场景 安全策略可基于多元条件组合建立全方位访问控制机制,尤其在需要严格边界防护、内部权限隔离、合规管控的网络环境中,成为保障网络安全的核心手段。 企业内网与互联网边界需严格管控出入流量,仅开放必要业务端口,同时阻断外部恶意攻击与非法入侵。传统安全策略规则配置分散,多设备部署易出现冲突,防护易存在漏洞。而Panabit安全策略支持多元组精准匹配,规则优先级自定义排序,在会话创建时即可生效,快速构建严密的边界防护体系。 例如某大型制造企业部署安全策略后,配置规则仅允许外部办公终端通过 VPN 接入后访问内网 OA 系统与邮件服务器(pass动作),阻断所有外部对财务服务器的直接访问(deny动作)。策略成功拦截了多次针对内网服务器的端口扫描、暴力破解尝试等,保障了业务的安全与连续性。 数据中心存储着大量核心业务数据与应用服务,需限定访问来源与操作权限,防止数据泄露或非法篡改。传统安全策略无动态响应能力,面对突发攻击需手动调整规则,响应滞后。Panabit 安全策略不仅支持与其他安全设备系统动态联动,还可导入威胁情报自动生成应急阻断规则,在异常会话发起时迅速响应。 例如某互联网公司数据中心通过安全策略部署,仅允许内网运维IP段访问数据库服务器。当监测到非白名单IP发起SQL注入攻击时,系统可动态触发安全策略,自动阻断恶意IP的会话请求,避免核心数据泄露。 运营商网络需为不同行业租户提供独立网络服务,需严格隔离租户间流量,防止资源盗用或安全风险扩散。传统安全策略隔离效率低,海量租户规则配置占用大量设备资源。Panabit安全策略采用轻量化规则匹配引擎,基于会话的匹配机制减少了重复检查,支持批量租户规则配置,适配大规模部署场景。 例如某省运营商在核心网元部署安全策略后,为批量租户分别配置独立访问控制规则,限定各租户仅能访问自身专属服务器集群,阻断跨租户流量互通。 校园网络需兼顾教学办公需求与学生上网合规性,需在特定时段限制娱乐类流量,阻断色情、赌博、邪教等违规网站访问,同时保障教学资源顺畅访问。传统安全策略的管控维度不足,规则调整需逐设备操作,灵活性差。Panabit 安全策略支持基于时间周期的规则配置,可自动适配校园作息,在特定时间段对特定流量会话执行允许或拒绝动作。 例如某中学部署安全策略,通过配置上课时段阻断游戏服务器IP段、视频平台端口,只允许访问在线教学平台与电子图书馆。课后则自动放宽部分限制,仅保留对违规网站的阻断规则,无需管理员手动干预。 客户使用Panabit作为核心管控设备,现因业务扩张、网络攻击手段升级、合规要求提高等因素,需求具备精细化管控、双栈适配、动态联动与可视化审计能力的安全策略,满足多场景下的网络安全防护需求。 2、解决方案 实现安全策略精准高效防护的核心在于规则配置灵活性、环境适配性与防护联动性。PanabitTANG r7p6优化安全策略设计逻辑,通过以下特性解决客户问题: 1)会话级ACL匹配:策略在会话创建前或应用识别类型改变时触发,确保第一时间拦截恶意流量,提升安全性和效率。 2)多元组精细化规则:支持基于源IP地址、目的IP地址、协议类型、应用、源端口、目的端口、访问时间、用户组等多维度条件组合匹配。 3)双栈原生适配:支持IPv4/IPv6双栈网络环境,可分别为两种环境配置独立安全策略规则。 4)简化的动作集合:仅提供deny/pass动作,策略意图明确,减少误配置风险。 5)智能优先级与高效匹配:支持自定义规则优先级,系统自动按优先级顺序执行规则;结合会话机制,提升匹配效率。 6)便捷地管理与维护:支持批量导入/导出规则,支持规则复制、修改、禁用等快捷操作。 Panabit TANG r7p6的安全策略在保证网络安全防护全面性与精准度的同时,凭借其基于会话的ACL设计和简化的动作,最大限度地降低了运维成本与设备性能损耗,完美适配各类网络环境的安全防护需求。 3、配置方法 【安全防护】>>【安全策略】>>【添加策略组】配置安全策略组: 【安全防护】>>【安全策略】>>在指定策略组下【+添加策略】配置安全策略选择放行或阻断或在指定策略组后【+】配置策略:
2.4 FTP ALG Panabit TANG r7p6新增FTPALG(应用层网关)功能,核心在于解决传统FTP主动(PORT)模式下在NAT环境下的文件传输失败问题,适配企业多分支跨网文件交互场景。不仅解决了内网IP使用FTP PORT模式时连接成功却无法传文件的痛点,还通过整合现有网络管控能力,为客户提供轻量化、高可靠的FTP传输保障方案,尤其满足企业多分支大规模报关文件上传的业务需求。 FTP ALG针对FTP协议的命令交互特性,实现对FTP应用层命令(如PORT命令)的解析与修改。当FTP客户端使用主动模式时,Panabit的FTP ALG会识别PORT报文中携带的私网IP和端口信息,将其替换为Panabit的公网IP及对应的映射端口,并动态通知防火墙开放该映射端口,确保FTP服务端能成功回连客户端,完成数据传输。FTP ALG不依赖特定FTP服务器类型,可适配IPv4网络、各类FTP传输模式(ASCII、二进制),兼容各种主流企业级FTP应用。 1、客户场景 解决客户需通过FTP主动(PORT)模式上传关键业务数据,但因客户端发送的PORT报文携带私网IP,导致FTP服务端无法回连,出现连接成功却无法传输文件的问题。 采用FTP主动(PORT)模式时,客户端会向服务端发送携带私网IP和端口的PORT命令,而传统NAT仅修改IP报文头部的源IP,不处理应用层的PORT命令内容,导致FTP服务端无法基于私网IP发起数据连接回连,最终文件传输超时失败。 例如某企业在全国设有多个分公司,各分公司终端使用内网IP。现需访问总部或海关指定的FTP服务器,上传电子报关单、货运提单等文件。FTP服务端因无法跨公网路由至该私网地址,未发起任何数据连接请求,导致文件传输中断。 企业需访问部署在第三方数据中心的FTP服务器,该类服务器通常仅支持FTP主动模式。分公司终端访问公网FTP服务端时,传统NAT设备无法识别FTP应用层命令,导致FTP服务端回连请求被拦截或无法定位客户端,无法完成文件下载或上传。 例如某企业需从协作方的ftpd服务器下载调度表格,客户端成功连接服务器并浏览到文件列表,但执行下载文件命令时无响应。排查发现,FTP服务端根据PORT报文中的私网IP向该地址发送数据连接请求,被防火墙默认判定为无效请求拦截。 现在各企业的分公司内网网段基本不统一,且终端设备类型多样,均需通过FTP主动模式传输文件。传统解决方案需为每个分公司的每台终端手动配置FTP端口映射与防火墙开放规则,运维工作量极大;若终端IP因设备更换或网段调整发生变化,需重新修改映射规则,否则会导致业务中断,影响报关等时效性强的业务。 例如某企业为统一管理分公司FTP传输,初期为分公司某终端配置了静态端口映射,但该终端因硬件故障更换后更换新终端改变了IP,原映射规则失效,导致新终端无法上传报关文件,运维人员重新配置修复的过程耗时较长,影响了申报进度。 2、解决方案 实现FTP主动(PORT)模式稳定传输的核心,在于解决NAT环境下应用层地址与网络层地址不匹配的问题。Panabit TANG r7p6新增FTP ALG功能,通过深度解析FTP命令、动态转换地址端口、联动防火墙的三层机制,精准适配企业多分支的业务场景,无需复杂手动配置,即可保障文件传输可靠。 该功能通过以下核心逻辑,彻底解决传统方案的痛点,确保FTP主动模式文件传输稳定: - FTP命令深度解析:Panabit实时监控FTP控制连接(默认21端口)的数据流,精准识别ASCII或二进制模式下的PORT命令,提取报文中携带的私网IP与端口号,解析延迟低于1ms,不影响FTP命令交互速度。
- 动态地址与端口转换:Panabit自动将PORT命令中的私网IP替换为自身的公网IP(或NAT出口IP),同时将私网端口映射为Panabit地址池中的临时公网端口,生成“私网IP:端口→公网IP:临时端口”的动态映射关系,并实时同步至NAT地址表,确保映射关系唯一且有效。
- 防火墙动态联动放通:FTP ALG在生成动态映射后,立即通知内置防火墙,临时开放映射后的公网端口,允许FTP服务端的回连请求通过该端口到达客户端;当FTP数据传输完成(如STOR/RETR命令执行完毕)或控制连接关闭(如客户端发送QUIT命令),ALG会自动清理无效的映射关系,并关闭对应的公网端口,避免端口资源浪费或安全风险。工作流程如下:
FTPALG相关指令说明: 名称 | 命令参数 | 备注 | | floweye ftp_alg config enable=1 | | | | |
2.5 OSPF支持IPv6(OSPF v3) Panabit TANG r7p6新增OSPF支持IPv6功能(即集成OSPF v3协议栈)。核心在于通过接口IPv6地址配置、链路本地地址寻址与链路状态路由动态计算的架构,结合路由拓扑可视化管理能力,更灵活地适配IPv6网络多场景组网需求。不仅解决了传统Panabit版本中仅支持IPv4路由、IPv6网络需其他协议的痛点,还通过整合OSPFv3(IPv6路由)+OSPFv2(IPv4路由)双栈能力,为客户提供更简洁的IP双栈拓扑与更高效的跨版本终端互联方案。 OSPFv3是IPv6环境下的核心路由技术,本质是基于链路状态数据库(LSDB)对IPv6路由条目进行动态计算,通过邻居发现、LSA(链路状态通告)交换生成最短路径树(SPF),无需手动配置静态路由,可实现不同IPv6网段设备的低延迟互访,同时避免静态路由单点故障无收敛的问题,是构建高效IPv6骨干网的基础技术。可适配以太网、PPP等多种链路类型,兼容纯IPv6与IPv4/IPv6双栈终端设备。 1、客户场景 OSPFv3可基于物理/逻辑接口划分路由区域,建立不同IPv6网段的设备互联通道。 企业内部有IPv6办公电脑、IPv6打印机等终端,需实现本地文件共享、打印机共用;同时需访问总部IPv6服务器、与其他分支IPv6网络传递数据,且需保留部分IPv4设备访问外网的能力。 某科技企业通过将所有IPv6终端所在接口划入OSPFv3非骨干区域,结合与总部建立的OSPFv3骨干区域(Area 0),实现分支与总部的IPv6动态路由转发;同时保留OSPFv2功能支持IPv4设备,数据按需跨版本传输。 城域网内有家庭用户IPv6智能终端、企业用户IPv6服务器,需实现本地IPv6流量高效转发(如家庭设备访问本地IPv6 CDN);同时需接入省级IPv6骨干网、接受省网的路由管理(如路由策略下发、故障快速切换)。 某省运营商通过在城域网汇聚层设备启用OSPFv3,将家庭/企业IPv6终端所在链路划入同一区域,确保本地IPv6流量就近转发;再通过OSPFv3 ASBR(自治系统边界路由器)与省级骨干网互联,城域数据经区域汇总后,通过动态路由安全上传至省网,兼顾本地转发效率与跨网可靠性。 政府或事业单位内部按部门划分区域,同一部门IPv6设备需低延迟互访;不同部门或外部IPv6网络需跨网段路由,且需兼容存量IPv4终端。 某市政府通过OSPFv3为各部门划分独立路由区域,确保区域内IPv6设备低延迟通信;同时在核心设备启用IPv4/IPv6双栈,通过OSPFv2管理IPv4路由、OSPFv3管理IPv6路由,实现不同部门跨网互通与政务云访问,精简了双网并行的拓扑复杂度。 物联网网关、云服务器多为纯IPv6设备,需实现本地快速通信;同时需接入公网IPv6云平台,且需支持路由故障自动切换。 某工业物联网企业通过在网关与本地服务器之间配置OSPFv3,确保数据低延迟传输(秒级响应);再通过核心节点的OSPFv3与云平台建立链路,当某条路由故障时,OSPFv3可自动收敛至备用路径,避免了数据传输中断,兼顾了本地实时性与云端连续性。 2、解决方案 实现OSPF支持IPv6(OSPFv3)的核心机制在于协议的运行模式与配置逻辑,不同的协议版本适配不同的IP网络环境与组网需求。 传统的OSPF路由机制主要为OSPFv2(IPv4版本),作为基于链路状态的内部网关协议,它通过在进程下配置命令关联直连网段,选举指定路由器(DR)和备用指定路由器(BDR)建立邻接关系,基于全局单播IPv4地址交换Hello报文同步链路状态数据库(LSDB),最终通过SPF算法计算最短路径实现高效转发,广泛应用于IPv4企业网与运营商网络。 但OSPFv2仅支持IPv4路由计算,无法适配IPv6网络环境。在传统Panabit版本中,若需根据OSPF协议构建IPv6网络,只能依赖静态路由手动配置,不仅面临运维难题,且缺乏动态路由的自动收敛能力,在网络规模扩大或拓扑复杂时极易出现配置疏漏与故障恢复延迟。Panabit TANG r7p6升级路由协议栈,集成OSPFv3功能,通过基于链路的配置逻辑与动态路由计算能力,彻底解决IPv6网络依赖静态路由的痛点,同时兼容原有OSPFv2功能,实现IPv4/IPv6双栈路由协同。 根据OSPF协议的IP版本适配差异,主要分为OSPFv2(IPv4运行)与OSPFv3(IPv6运行)两种运行模式,可灵活选择以适配单栈或双栈网络场景。OSPFv2基于IPv4地址运行,通过指令在路由进程下关联网段,依赖全局单播IPv4地址建立邻居,需额外配置协议内认证机制。OSPFv3专为IPv6设计,采用“接口使能”的配置方式,无需依赖全局单播IPv6地址,仅通过链路本地地址即可建立邻居关系,且借助IPv6原生的ESP/AH安全机制实现邻居认证,无需额外配置。此外,OSPFv3新增Instance ID字段支持链路多实例复用,通过链路LSA(Type 8)与前缀LSA(Type 9)分离拓扑与路由信息发布,适配更复杂的IPv6组网需求。 Panabit采用双栈并行的运行模式,OSPFv2与OSPFv3协同工作,在同一设备中独立启用两种协议进程,OSPFv3进程不影响原有OSPFv2的路由计算与转发,以此平衡IPv6升级需求与IPv4业务连续性。通过“接口独立使能、进程并行运行”的交互逻辑,在满足IPv6动态路由需求的同时,最大限度保障既有网络稳定。 3、配置方法 【应用市场】>>【动态路由】>>【概况】>>【全局配置】中启用OSPF和IPv6: 【应用市场】>>【动态路由】>>【OSPF】>>【接口管理】中配置OSPF启用线路(接口): 【应用市场】>>【动态路由】>>【OSPF】>>【协议配置】中对OSPF实例、区域进行管理: 【应用市场】>>【动态路由】>>【OSPF】>>【协议配置】悬停在指定区域名称上时,宣告指定OSPF接口用于被其他设备发现并进行配置:
3.6 共享检测 Panabit TANG r7p6新增共享检测功能,核心在于融合DPI流量特征分析与共享设备专有协议解析,通过终端数量+设备类型双维度进行共享设备检测,解决传统DPI技术无法精准区分设备类型、管控缺乏针对性的痛点,为运营商、高校等场景提供零干扰、可定制的共享管控方案,适配大规模网络环境。 1、客户场景 共享设备控制功能可基于IP与流量特征建立识别机制,在高校、运营商骨干网、大型企业等场景中,成为遏制账号滥用、保障资源公平的核心方案。 高校普遍实行“一人一账号”校园网策略,但共享设备可实现单账号多终端共用,导致带宽拥堵、教学系统卡顿。传统管控手段难以精准识别共享设备,易误判合法终端。 例如某重点高校大量学生使用共享路由器共享校园网账号,导致高峰时段教学区网课加载缓慢、科研数据传输延迟。部署Panabit共享检测后,精准识别共享设备成功率超99%,阻断违规共享流量,校园网带宽利用率提升30%,教学与科研网络体验显著改善。 运营商宽带部分用户通过共享设备共享账号,使单账号承载多终端接入,降低运营商带宽投资回报率。传统检测技术无法区分普通路由器与专用共享设备,管控效果不佳。 例如某省家庭宽带用户共享账号现象导致网络拥塞,运营商收到的投诉激增。通过部署共享检测,精准识别共享设备并执行分级管控,违规共享行为减少85%,用户ARPU值提升12%,带宽投资回报率显著优化。 大型企业内部网络中,员工私接共享路由器可能导致外部设备非法接入,引发数据泄漏风险,传统检测机制难以捕捉此类违规行为。 例如某集团分支机构员工私接共享设备共享办公网络,导致外部终端接入内网,存在数据泄露隐患。通过部署共享检测分析网络行为模式与协议冲突特征,快速识别私接共享设备,触发隔离策略,杜绝再次非法接入风险,保障内网数据安全。 客户使用Panabit作为核心管控设备,因终端多元化、共享设备滥用等因素,需求实现精准的共享设备识别、阻断与可视化管控。 2、解决方案 实现共享精准管控的核心在于多维识别与灵活管控机制,不同模式与技术组合适配不同场景的管控需求。 传统的网络共享识别依赖单一DPI技术,仅提取MAC地址、应用层账号等特征判定终端数量,无法区分普通路由器与共享设备,误判率高且管控缺乏针对性。Panabit TANG r7p6共享检测优化识别与管控逻辑,通过多维特征交叉验证+内核级阻断,实现精准识别、零干扰管控: 1)识别机制:采用多维特征交叉验证模式,通过硬件级标识(例如IMEI码、HTTP UA)、应用层数字指纹(例如微信UUID、抖音DID)、网络行为模式(操作系统流量混合、高频连接)、时空密度分析四大维度,精准判定共享设备,识别精度达98%以上; 2)管控模式:支持全终端统计与仅移动终端统计双模式自由切换,可动态调整终端数量阈值(如≥5台触发管控)与阻断时长(天/小时/分钟/秒级),适配高校、企业等不同场景的管控需求。
Panabit采用识别——标记——阻断全流程自动化机制,检测与管控分离,在保障精度的同时降低设备资源消耗,具体流程如下: 1)流量采集与特征提取:通过DPI引擎实时采集网络流量,提取硬件标识、应用指纹、行为模式等多维特征; 2)共享设备判定:结合动态指纹库(每月自动更新),通过三重特征交叉验证(至少2项匹配)识别共享设备,误判率<0.1%; 3)流量标记与策略注入:对匹配共享特征的流量进行标记,执行相应的阻断或监测策略; 4)精准阻断与可视化展示:在数据链路层精准丢弃共享流量,合法流量不受影响,同时通过前端可视化展示设备IP、MAC、终端类型、发现时间等信息。
3、配置方法 【行为管理】>>【共享检测】>>【共享概况】>>【信任列表】>>【添加信任对象】配置不进行共享检测的设备(IP或IP段均可),【删除信任对象】可删除设备进行共享检测: 【行为管理】>>【共享检测】>>【共享概况】可视化查看被发现的共享设备,并可通过【导出】下载csv格式的当前共享设备信息进行查看: 【行为管理】>>【共享检测】>>【共享概况】>>【参数配置】进行自定义共享设备管控: 【行为管理】>>【共享检测】>>【共享日志】>>【导出】下载csv格式的发现趋势信息进行审计: 3.7 支持华为NCE-Campus Panabit TANG r7p6新增华为NCE-Campus支持,核心在于通过标准化身份认证协议与账号——IP映射同步机制的深度融合,实现跨平台账号联动校验与终端权限精准管控。Panabit整合单向数据同步能力,为客户提供账号密码同步、账号——IP精准映射,无需手动维护映射表,精简运维,保障网络安全。 1、客户场景 在同时部署iMaster NCE-Campus与Panabit的场景下,通过配置iMaster NCE-Campus与Panabit联动单点登录,完成对用户认证授权的同时实现上网行为管理。 政企骨干网中,无需分别登录两个平台、手动录入运维终端IP,同步华为NCE账号密码与IP映射,避免配置错误,提升运维效率。 例如某省政务云骨干网,运维人员通过实时读取NCE的运维终端IP加入Panabit白名单,实现仅允许该IP发起操作请求,保障运维安全。 企业园区网络中,Panabit负责终端接入管控,华为NCE存储员工账号与办公终端IP的绑定关系,之前版本无法联动导致同步延迟高,员工更换终端后易出现登录权限异常。 例如某大型集团园区网员工的账号与办公电脑IP绑定信息存储在华为NCE,管控设备30秒自动同步NCE中的映射关系,员工更换终端后权限实时生效,同步准确率可达100%。 数据中心网络中,Panabit负责服务器终端接入审计,华为NCE负责管理运维账号与服务器IP的对应关系。传统方式需分别在两个平台维护权限,有较大的权限安全隐患。 例如某金融数据中心,华为NCE存储运维账号与对应的服务器管理IP,对接后通过NCE单点登录验证账号有效性;当NCE中删除某离职员工账号时,对接设备立即同步禁用该账号登录权限,并清除对应的IP映射,避免未授权操作风险。 客户使用Panabit作为核心管控设备,因业务需求需与华为NCE协同运维,实现联动单点登录,Panabit可实时读取华为NCE中的账号信息与IP对应关系,进行终端权限精准管控。 2、解决方案 Panabit TANG r7p6标准化身份认证流程与双向数据同步机制,实现Panabit与华为NCE联动单点登录,实时账号——IP映射读取。 过去版本的Panabit采用独立认证+手动同步映射模式对接华为NCE,需维护多套账号密码,无法满足大规模网络的安全管控需求。Panabit TANGr7p6优化同步机制,通过标准化身份认证协议与实时同步引擎,实现NCE账号信息读取。 根据身份认证与数据同步的交互方式,可通过配置ttl(Time to Live,生存时间)灵活选择对接更新时间来平衡安全性与资源消耗:Panabit按预设周期与华为NCE建立连接,通过后实时读取账号——IP映射关系,且映射关系发生变更时(如IP修改、账号注销),NCE主动推送更新至Panabit。 Panabit只同步华为NCE的账号、IP、密码等信息并支持加密列表,不进行认证,降低自身资源消耗,确保身份与权限管控的一致性。
华为NCE对接相关指令说明: 名称 | 命令参数 | 备注 | | floweye huawei_nce config enable=1 key=campusNCEIndex port=xxx ttl=xxx
| 打开:enable=1; 关闭: enable=0; port: 对接的udp端口,默认8001; key: aes共享密钥; ttl: 客户端idle超时踢线时间(秒), 默认1800秒。 |
三、功能优化 3.1 IPv4/v6转换优化 1、客户场景 客户在IPv4/v6转换(IPv4与IPv6网络互通)场景下,当业务访问涉及 CDN(内容分发网络)时无法完全正常运行,需解决该互通故障,保障基于特定域名的业务正常访问。 2、解决方案 为解决IPv4/v6转换场景下的CDN业务问题,可通过虚拟IPv4地址映射+真实IPv6地址解析转发的方法,实现客户端与目标域名的跨协议正常通信。 Panabit TANG r7p6优化IPv4/v6转化模块逻辑,新增自定义ipv4虚拟地址池与访问ipv6地址失败后的自定义备用线路。当Panabit接收到客户端对目标域名的访问请求时,自动向客户端返回一个自定义范围的虚拟IPv4地址,并同步记录该虚拟IPv4地址与目标域名的对应关系;然后通过IPv4或IPv6线路,主动获取目标域名对应的真实IPv6地址,并更新记录虚拟IPv4地址与真实IPv6地址的映射关系;当客户端后续访问已记录的虚拟IPv4地址时,Panabit自动将该IPv4访问请求转换为IPv6协议,使用之前解析的真实IPv6地址转发至目标网络,完成客户端与目标业务的跨协议通信,规避CDN场景下的IPv4/v6转换业务异常。 3、配置方法 【网络设置】>>【路由/NAT】>>【IPv4/v6转换】>>【参数设置】进行配置:
IPv4/v6转换相关参数: 名称 | 命令参数 | 备注 | | floweye dnat46_host config ipstart=<ip> ipend=<ip> | ipstart/ipend:用于配置虚拟IP地址池,都为0时表示disable。 | | floweye dnat46 config pxy4=<v4wan线路> | pxy4:用于匹配虚拟地址池的数据流在syn探测失败时路由的线路。 | | floweye dnat46 list hdr=1 | |
3.2 内网IP对象模块优化 1、客户场景 企业购入大量工业设备,需求能通过Panabit对设备进行精准管控,解决低响应频率被误判为离线、频繁重启MAC地址改变导致无法管控等问题。 2、解决方案 之前版本Panabit查询其他设备的MAC地址采用ARP请求方式,需设备活跃回应。为解决客户问题,Panabit TANG r7p6优化ARP处理机制,增加ARP响应功能:当PanaOS收到其他设备发出的ARP响应报文时,实时更新在线用户MAC地址,形成IP-MAC动态映射。
3.3 IPV6路由/NAT最大带宽策略优化 1、客户场景 客户在双栈多线路出口场景做负载均衡时需手动调整分流,需求为能实现自动化负载,最大化利用全部线路带宽。 2、解决方案 Panabit TANG r7p6通过优化IPv6路由与NAT策略的协同控制,解决IPv6线路带宽到达阈值后无法自动切换、负载利用率低的问题,同时保持与IPv4策略逻辑的一致性,降低配置与运维成本。 该优化方案在IPv6路由策略中新增最大下行带宽(wanbwin)和最大上行带宽(wanbwout)参数,同时同步升级IPv6 NAT策略,根据上下行带宽自动判断策略是否生效,并确保路由选路和地址转换协同生效,避免流量中断。其定义与功能完全对齐IPv4路由策略中的同名称参数:当IPv6线路的实际下行/上行流量持续达到参数设置阈值时,系统会自动判定当前线路IPv6路由/NAT策略失效,切换至备用线路。而当多条出口线路均未达阈值时,Panabit可基于wanbwin/wanbwout参数配置等价路由,使流量在线路间按带宽比例均衡分配,最大化利用总带宽资源,解决多线路带宽利用率不足的问题。 3、配置方法 【网络设置】>>【路由/NAT】>>【IPv6】>>【添加】进行配置: 3.4 策略路由支持QinQ标签参数 1、客户场景 客户的核心网络设备OLT与下联ONU通过Panabit串接统一管理,需求通过策略路由实现不同类型流量的精准分流,同时满足复杂网络拓扑下的流量管控与地址规划要求。 2、解决方案 Panabit TANG r7p6优化策略路由,新增支持QinQ(双层VLAN标签),不同业务设备可通过配置外层VLAN标签+内层VLAN标签,Panabit为不同业务类型的流量指定专属转发路径,既能实现业务流量与管理流量的隔离分流,也能满足跨区域网络互联的流量出口需求。 基于QinQ的策略路由(VLANStacking Policy Routing)是策略路由的重要扩展实现,其核心是将外层VLAN ID(S-Tag)+内层VLAN ID(C-Tag)作为流量匹配条件,替代传统单一VLAN或IP地址的匹配方式,针对符合条件的报文执行指定路由动作(如转发至特定出口、指向目标设备)。既可满足业务流量定向转发:应用于内部业务流量需跨区域传输的场景,通过匹配外层VLAN+内层业务VLAN将流量路由至专线出口,保障业务数据高效互联;又可满足流量隔离管控:应用于内部设备管理流量需定向对接指定管理设备的场景,通过匹配外层VLAN+内层管理VLAN将流量路由至专属管理设备,避免管理流量占用业务带宽或引发安全风险。灵活的标签组合匹配规则,可适配不同网络环境下的双层VLAN规划。 3、配置方法 【网络设置】>>【路由/NAT】>>【IPv4】>>【添加】进行配置,【VLAN】填写格式为内层VLAN ID/外层VLAN ID(IPv6策略路由也支持该功能): 3.5 IPSEC支持分片包重组 1、客户场景 客户使用IPSEC(互联网协议安全)传输业务时,数据过大导致传输中断,需求解决该问题。
2、解决方案 为解决IPSEC链路无法处理数据包过大的问题,Panabit TANG r7p6在IPSEC发送流程中新增IPSEC分片包重组能力,保障IPSEC协议下分片数据的完整传输: 1)分片触发:在IPSec协议栈发送业务数据包前新增数据包检测逻辑,对比当前数据包实际大小与链路MTU阈值,若超过MTU限制,则自动触发分片流程。 2)分片处理:按照IP协议分片规范,将数据包拆分为多个符合MTU要求的分片包,确保IP头信息完整,保障接收端可正常重组。 3)分片包关联:拆分后的分片包使用mbuf_setnextpkt()函数将后一个分片包挂载至前一个分片包的链表节点,形成连续的分片包队列,确保IPSEC协议栈可按顺序处理并发送所有分片包。 4)兼容性保障:分片处理逻辑仅作用于发送端IPSEC链路,不修改接收端的分片重组机制。同时保留分片功能开关,若后续业务无需该功能可关闭,避免对IPSEC业务造成干扰。
IPSEC分片包重组相关参数: 名称 | 命令参数 | 备注 | | floweye ipsec config frag_enable=1 | | | floweye bootenv set name=IPSEC_MAX_FRAG val=N | |
3.6 802.1X认证优化 1、客户场景 客户使用802.1x作认证时密码填写有误,导致进入办公场地后,后台一直重复尝试登录,造成账号被认证服务器封禁无法正常办公。需求在认证服务器返回认证失败达到一定次数后,直接阻断该上网设备的802.1x请求。 2、解决方案 针对某些RADIUS无认证失败防护功能的痛点,Panabit TANG r7p6优化802.1X认证模块,新增802.1X 认证失败次数限制功能,通过失败次数统计——阈值判断——MAC阻断的闭环逻辑,实现对高频失败终端的精准管控。 Panabit作为Authenticator(即身份验证器,通过多因素认证方式,在登录过程中提供额外安全验证,降低账号被入侵风险)对接RADIUS后,当收到RADIUS返回的Access-Reject响应时,自动提取该认证请求对应的终端MAC地址(802.1X 报文中的终端唯一标识),触发该MAC地址的认证失败次数统计。通过Panabit自定义认证失败阈值与阻断时长,当某MAC地址达到失败阈值时,Panabit生成临时阻断规则——对该MAC地址后续发起的802.1X认证请求,直接拒绝转发至指定RADIUS服务器。 3、配置方法 【宽带准入】>>【802.1X认证】>>【认证规则】>>【参数配置】进行配置:
802.1X认证相关参数: 名称 | 命令参数 | 备注 | | floweye dot1x config maxfail=0 blocktime=600 | maxfail:连续认证失败次数; blocktime:阻断时间; 当maxfail > 0且客户端连续认证失败次数达到,则阻止它继续登录(防止AAA封禁账号), blocktime时间后解除,可以继续尝试认证登录 | | |
| | floweye dot1x list client=1 |
| | | |
3.7 Radius模块支持DM报文抄送 1、客户场景 企业一场地分别为员工宿舍区、服务公共区,分别使用同一运营商的不同认证系统。现客户需求开通了宿舍套餐的员工在公共区时流量仍旧通过宿舍设备进行认证上网和流量计入,同时运营商系统需获取用户上下线信息。 2、解决方案 在多设备、多认证系统的网络架构中,DM报文(非通用标准协议报文,一种用于设备间关键数据同步的专用数据报文)可传递与用户认证、权限、上下线状态相关的核心信息,为流量定向转发、权限管控提供依据。但需依托Radius模块实现封装、传输与解析,确保数据同步的精准性与合规性。 Radius模块支持DM报文抄送,本质是借助Radius协议的属性字段,将多台设备的关键数据封装为DM报文并传输。基于此,Panabit对Radius模块进行了优化,通过Radius模块定义DM报文的同步字段,明确需传输的关键数据,包括用户账号、宿舍套餐权限标识、用户实时上下线状态,确保公共区设备能精准识别用户身份与权限。 其认证逻辑为当员工在公共区发起上网请求时,公共区认证设备通过Radius模块接收并解析宿舍区设备抄送的DM报文,验证用户的宿舍套餐权限。若权限有效,公共区设备自动将用户流量请求定向转发至宿舍区认证设备,由宿舍区设备完成最终认证;认证通过后,用户上网流量直接计入宿舍套餐,无需额外操作。 宿舍区认证设备通过Radius模块,将用户的上下线状态信息封装为运营商系统支持的合规格式,并实时同步至运营商系统,满足运营商对用户网络状态的监控与数据统计需求。
Radius新增DM报文相关参数 : 名称 | 命令参数 | 备注 | | floweye radius config dmcc_ip=x.x.x.x dmcc_port=n
| dmcc_ip:DM数据包抄送的目标IP地址; dmcc_port:DM数据包抄送的目标端口,如果不设置则默认为3799端口。 限制:dmcc_ip必须和Panabit的某个LAN口在同一个网段,目前不支持跨网段。 | | | 1)dmcc_pkts_sent:已经成功抄送的数据包的个数; 2)dmcc_rtentry:dmcc_ip对应的rtentry id。 |
3.8 端口映射日志优化 1、客户场景 企业使用Panabit的端口映射功能,将访问的源地址转换成与核心互联的其他地址,但会话、日志均不显示源地址的真实IP,不满足其安全要求。现需求会话及日志中能呈现端口映射的真实IP,防止映射的服务器被恶意攻击时查不到真实的地址。 2、解决方案 为满足客户需求,在Panabit TANG r7p6里对端口映射日志做了以下优化:针对端口映射使用LAN地址做代理的场景,当接入设备发送会话时,会话日志的源IP和源端口为原发起方的IP和端口而非映射后的IP、端口;做代理的LAN口地址将不会体现在会话日志中;IP档案里会话信息仍旧显示做代理的LAN口地址;上述改动只对TCP会话有效,UDP会话保留现状。
3.9 添加威胁情报统计清零 1、客户场景 客户需求在安全防护的威胁情报模块中,关于命中用户的匹配次数添加清零功能,增加管理员维护易用性。 2、解决方案 之前版本的Panabit在终端经过杀毒处理后,仍旧保留大量匹配数,无法通过匹配次数直观确认终端是否清理干净或者重复感染。Panabit TANG r7p6优化命中用户匹配模块逻辑,新增清除在线IP的情报命中计数器,客户可根据需求进行清除。
威胁情报命中次数相关参数: 名称 | 命令参数 | 备注 | | floweye ipobj config clearmalc=x.x.x.x |
| | floweye ipobj config clearallmalc=1 | |
3.10 AD域同步优化 1、客户场景 客户同步AD域用户信息失败,反馈当前版本的Panabit用户组无法满足大规模管理需求。 2、解决方案 Panabit TANG r7p6对AD域账号同步实现了突破性优化,通过高效数据结构替代原有的线性遍历查询,将超大规模环境下多账号多用户组的同步时间从7分钟缩短至秒级,并解决了用户组数量限制的瓶颈。之前所有版本的Panabit用户组上限均为2000,现扩充用户组数目到12K(目前仅限X86平台,后续会优化其他平台版本)。同时,系统新增了对AD安全组的完整支持,使得同一账号可归属多个组,并能基于安全组实施流控等策略,从而极大地提升了产品在大型企业复杂网络环境中的处理性能与管理灵活性。
3.11 IP群组扩容与查询算法优化 1、客户场景 客户反馈目前动态IP群组个数无法满足多维度划分需求,且群组成员为不完整IPv6地址时(例如仅有前缀)不显示,无法将特殊设备纳入管理。 2、解决方案 Panabit TANG r7p6从群组容量与IPv6查询两方面,对IP群组算法进行了定向优化,通过参数重构与逻辑升级,精准匹配客户需求:1.扩充动态IP群组个数:原动态IP群组最大支持256个群组,现扩展为384个;2.优化IPv6查询算法:新增前缀添加模块,兼容多长度前缀并自动校验;升级匹配逻辑,拆分地址按前缀哈希匹配,解决前缀不显示问题。
3.12 普通/动态IP群组支持大于/64前缀 1、客户场景 企业对不同区域、业务设置了不同IP范围,需求突破现有前缀长度限制,同时支持通过具体IP范围格式管理IP地址,满足更精准的网络资源管控需求。 2、解决方案 IP 群组(IP Group)是网络管理中的一种逻辑分组机制,通过预设规则(如 IP 地址范围、前缀段、业务用途等),将分散的单个IP地址或多个连续/离散的IP段,整合为一个统一的管理单元。 Panabit TANG r7p6优化IP群组配置,可同时兼容原有≤64位前缀格式及新增的>64位前缀格式。企业在进行网络管控时,可根据实际场景选择合适的配置方式,提升IP群组管控的灵活性与精准度,更好地适配复杂的网络资源分配与权限控制需求。 3、配置方法 【对象管理】>>【IP群组】>>【IP群组】>>【添加】IP群组名称: 在【对象管理】>>【IP群组】>>【IP群组】>>指定IP群组名称后【+】或【对象管理】>>【IP群组】>>【群组IP展示】>>【添加导入】可在指定IP群组中添加大于64位的IP地址前缀(暂不支持地址范围格式): 【对象管理】>>【IP群组】>>【IP群组】>>【添加】动态IP群组: 【对象管理】>>【IP群组】>>【群组IP展示】>>【添加导入】IP,支持以IPv6前缀的形式增加(仅支持单次导入单IP): 3.13 节点跟踪优化 1、客户场景 客户业务存在内网服务器被误识别为目标节点的问题,需规避该误识别风险,同时希望可以自主控制相关识别逻辑的启用状态。 2、解决方案 为解决内网服务器误识别问题并提供灵活控制能力,优化系统特征库与自定义协议的节点处理逻辑,Panabit TANG r7p6新增内网IP过滤机制,同时在DPI中增设对应控制选项。当系统进行节点识别时,先对目标IP进行内网属性校验;若目标IP为内网IP,则直接不将其加入节点列表,避免误识别;若为非内网IP,则正常纳入节点列表。DPI模块中新增track_innersvr参数,支持用户自主开启或关闭该过滤逻辑,兼顾精准识别与使用灵活性。
节点跟踪内网IP匹配逻辑相关指令说明: 名称 | 命令参数 | 备注 | | floweye dpi config track_innersvr=0 | 默认enable=1; enable=0:跟踪节点时忽略掉内网服务器。 |
3.14 云上支持自定义管理端口 1、客户场景 客户需通过IWAN将云服务器公网IP映射至内网服务器,但与内网服务器443、22端口映射冲突,需提供可配置方式更改或去除其他应用对443、22端口的占用。 2、解决方案 为解决端口占用冲突问题,Panabit TANG r7p6新增自定义SSH服务和HTTPD服务端口可配置功能。在PanaOS修改默认占用的端口,HTTPD服务默认443端口,SSH服务默认22端口。可通过替换为其他未占用端口,配置修改后同步配置到内核模块即可生效。并加入自动触发规则:例如HTTPD服务端口不为443,则将目标端口为443的网络流量引流至PanaOS处理,同时将新配置的HTTPD服务端口对应的流量直接引流至内核;该逻辑无需手动干预。确保端口检测与引流切换实时生效,并且端口修改后,流量分发精准无误,同时不影响云单网卡管理口的映射功能及系统其他核心服务运行。
SSH服务和HTTPD服务端口配置相关指令说明: 名称 | 命令参数 | 备注 | | floweye ifxdp config admin_https_port/admin_ssh_port=xxx | 设置admin_https_port和admin_ssh_port时,需要避免和NAT端口重叠,建议端口范围 <2100或>56000 | | | 如果发现run_incloud进程,使用floweye ifxdp config admin_https_port=new_https_port命令同步一下配置到内核引流模块 |
四、界面优化 4.1 优化自定义协议组的选择操作 Panabit TANG r7p6优化自定义协议组操作,解决之前版本子分类无法取消问题。【应用识别】>>【自定义协议组】>>【添加】自定义协议组: 可通过【应用识别】>>【自定义协议组】>>【编辑】自定义协议组>>【反选】或【删除】子分类: 4.2 抓包策略对TCP标记选项优化 r7p6版本优化抓包选取逻辑,之前版本同时勾选TCP标记和数据包后实际上不对数据包进行抓取,现不允许同时选取TCP标记和数据包。可通过【网络设置】>>【网卡抓包】>>【添加抓包策略】中选取抓包对象: 4.3 优化名称校验逻辑 过去版本的Panabit更正了部分功能配置时名称为纯数字的逻辑,Panabit TANG r7p6对此做了进一步优化,自定义协议、自定义协议组、线路名称、流量控制策略名称、数据通道名称等用户可以自定义相关名称的地方不允许提交纯数字,例如【应用识别】>>【自定义协议组】>>【添加】自定义协议组校验: 4.4 IPSEC配置特殊字符 r7p6版本优化路由/NAT界面创建IPSec类型的WAN线路时,预共享密钥的特殊符号生效逻辑。通过【网络设置】>>【路由/NAT】>>【WAN线路】>>【添加】可配置IPSec线路: 4.5 优化本地账号创建限制 r7p6版本优化本地账号创建界面,新增符合规则的字符逻辑。通过【对象管理】>>【账号管理】>>【添加】可进行用户账号添加: 4.6 优化登录账号创建限制 r7p6版本优化登录账号创建界面,新增账号不能携带字符限制提醒。通过【系统维护】>>【系统用户】>>【用户账号】>>【添加】可进行登录用户账号添加: 4.7 管理口支持多IP r7p6版本优化管理接口界面,之前版本只能通过命令行格式增加管理口接入IP,现可在web界面【系统维护】>>【系统设置】>>【管理接口】添加管理接口: 4.8 多用户操作日志显示优化 r7p6版本优化日志显示信息,更加详细方便定位问题和审计。无需配置,可通过【系统维护】>>【系统日志】>>【操作日志】进行查看: 4.9 优化NAT地址栏显示 r7p6版本优化路由/NAT界面,当策略由NAT修改为路由后原设置的SNAT地址不再显示。通过【网络设置】>>【路由/NAT】>>【IPv4】或其他>>【添加】可配置线路对应使用策略:
4.10 威胁情报模块正式替换为安全防护模块 Panabit TANG r7p6将原【威胁情报】模块更名为【安全防护】,并在子模块新增攻击防护模块,原有功能并入【安全防护】>>【威胁情报】。详细新增功能说明请见上文新增功能2.4:
4.11 新增白色主题 Panabit TANG r7p6新增白色主题切换:
五、BUG修复序号 | 模块 | 修复 | | | | | | | | | | SR服务端配置DNS管控解析为时,客户端命中策略不生效 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
六、应用识别
6.1 新增应用一级分类 | 二级分类 | 应用 | 备注 | | | | 面向终端客户的智能边缘计算平台,用户可以通过平台贡献闲置带宽,存储资源,赚取奖励收益 | | | | 开源的云存储程序,可以让你从云中的任何地方备份和恢复文件 | | 阿里云无影是一套云网端融合的新型计算架构,核心以云电脑为基础,延伸出云应用、云手机、AI Agent基础设施等多类产品,凭借强安全、免运维、算力弹性等优势,广泛适配办公、教育、制造等多个行业场景 | | | 湖南广播影视集团旗下的短视频平台,是湖南广电官方唯一视频化的新闻资讯主平台 | | | | | | | | | | 一款免费且支持IPv4/IPv6协议的网络测速工具 | | | | VPN服务软件,具有高速稳定、隐私保护、全球专线等特点,覆盖全球数十个国家和地区的节点,采用先进的加密技术,无需复杂设置,一键即可连接 | | | | | | | | | | | | | | | | | | | | | | | | | | | 一款安全稳定的远程控制软件,由爱思助手专业团队打造 | | 360 安全云的远程核心围绕远程控制、远程运维、远程截屏等能力,适配家庭日常协助、企业 IT 管理、校园设备维护等需求,且有着明确的操作规范和安全约束 | | | | 无代码AI聊天机器人开发平台,用户无需编程即可快速创建智能聊天机器人 | | | | | 哈尔滨和景科技发展有限公司推出的大学生专属校园社区平台 | | | | | | | 由陈星汉及Thatgamecompany 公司制作,网易游戏代理运营的一款社交冒险类游戏 |
6.2 更新应用一级分类 | 二级分类 | 应用 | 备注 | | | | | | 北京月之暗面科技研发的Kimi 智能助手,它是一款以超长文本处理能力为核心亮点的全能型 AI 工具 | | | | | | | 面向终端客户的智能边缘计算平台,用户可以通过平台贡献闲置带宽,存储资源,赚取奖励收益 | | | | | | | | | | 字节跳动于 2016 年 9 月上线的音乐创意类短视频社交平台,其定位是帮助用户表达自我、记录美好生活 | | | UC浏览器推出的一款云服务产品,功能包括云存储、智能云同步、极速上传下载、文件分享、共享,通过UC网盘可随时随地使用或管理照片、文档 | | | | | | | 由网易公司出品的游戏加速工具,致力于帮助用户降低游戏延迟、稳定网络连接、解决卡顿问题 | | | | | 是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器 | | | | | | | | | 由新加坡游戏公司 Garena 旗下的 111dots 工作室开发的大逃杀类射击手游 | | | Grinding Gear Games 研发、腾讯游戏代理的角色扮演类游戏 | | 由韩国 NEOPLE 网游公司研发,三星电子全球发行的 2D 横版过关动作网游 | | | | 一部由企鹅影视、天美N1创新产品中心和魔铠科技联合出品的3DCG动画,改编自射击游戏《枪神纪》,也是中国首部科幻谍战动画 | | | 由漫威正版授权,网易游戏运营的多平台第三人称射击游戏 |
七、下载地址
标准版
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 
楼主
