Panabit标准版v22.10.17（核心代号“唐r3”)版本发布

lume

iWAN客户端（Windows版本&Linux版本）下载地址：https://bbs.panabit.com/forum.php?mod=viewthread&tid=23515&fromuid=264015


一. 新增功能

1.功能简介

1.   新增天翼网校园APP账号识别模块。

2.   新增huawei5g二次鉴权；

3.   新增iWAN管道模式

4.   新增动态CGNAT功能

5.   新增支持GRE接入

2.功能详解2.1 天翼网校园APP账号识别模块

当天翼网校园客户端流量经过Panabit时，可以识别出APP提交的账号，同时将账号和IP关联；模块默认关闭，使用floweye zsteduapp config enable=1打开，0关闭；

2.2 5G融合二次鉴权

在5G融合方案中，用户可以通过5G网直接访问内网资源， 5G设备会在报文里增加“增强头”，增强头信息会携带用户的手机号。这里衍生出了两个需求

1） 手机号作为来访用户的身份信息，需要记录下这些手机号，以便溯源。这个在之前的版本已经实现。

2） 对来访用户的手机号做一次认证，进一步确认来访用户的身份信息是否合法。这个就是二次鉴权。

通过命令floweye huawei5g config enable=1 auth=1 radsvrid=N（radius服务的ID） 开启

Radius服务的ID可以在【对象管理】--【RADIUS】--【服务列表】里查看

                              

命令开启后，通过5G网络进入内网的流量，如果发现带有手机号信息的数据包，Panabit会使用手机号作为账号密码，通过radius协议到内网AAA上做一次认证。认证通过则放行，不通过则阻断这个IP的流量。

2.3 iWAN管道模式

    解决在多隧道接入的情况下，iWAN客户端下IP段重复，在SERVER端无法配置路由的问题。

    如图所示，在一个iWANSERVER下接入了 A B C D 4个iWAN客户端。要实现A和B互访。C和D互访。

   

     

    从这个拓扑就可以看出，在SERVER端，实现A和B下的客户端互访是没问题的，但是如果同时也要实现C和D下的客户端也能互访，那么在传统的方式下就无法实现了。因此在iWAN上引入了管道ID和管道方向的配置。

    管道ID：设置后表示开启管道模式，取值范围是1-1024。不填或者填0表示传统模式。

    管道方向：取值0和1

   

     

管道是成对出现，如果实例拓扑图，A和B配置为一对管道，那么A和B的管道ID必须一样。同时管道方向配置1个为0，一个为1。管道配置好之后，SERVER无需再配置路由策略。SERVER会根据管道ID和管道方向自动进行转发。

2.4 SNMP更新

1. 修复 OID 数据更新的问题；

2. 修复内存溢出导致CRASH的问题;

3. 兼容 RouterOS 的 The Dude 工具；

4. 调整 10G（含）以上速率网卡的 ifSpeed 显示；

5. 增加 CPU 使用率的 OID；
.1.3.6.1.4.1.2021.11.9.0 ssCpuUser

6. 丰富 Panabit 设备的专有 OID。
   .1.3.6.1.4.1.58819.1.2.1 CPU温度
   .1.3.6.1.4.1.58819.2.2.1 License起始时间
   .1.3.6.1.4.1.58819.2.2.2 License结束时间
   .1.3.6.1.4.1.58819.2.2.3 License剩余天数
   .1.3.6.1.4.1.58819.2.2.4 License并发连接数
   .1.3.6.1.4.1.58819.2.2.5 License并发IP数
   .1.3.6.1.4.1.58819.3.2.1 最高在线用户数
   .1.3.6.1.4.1.58819.3.2.2 当前在线用户数
   .1.3.6.1.4.1.58819.4.2.1 最高PPS
   .1.3.6.1.4.1.58819.4.2.2 当前PPS

2.5 增加动态CGNAT

CGNAT，全称Carrier-Grade NAT (运营商级网络地址转换)。在将私网地址（源地址）转换为公网地址后，还会将源端口进行转换，转换后的端口是一段固定且连续的端口范围。

在【应用路由】--【CGNAT设置】--【动态分配】页面设置动态CGNAT

   

每IP端口数量：给每个内网IP分配转换后的端口范围

NAT地址池：转换后的IP范围，一般是公网IP。

在【应用路由】--【策略路由】，添加策略，执行动作选择CGNAT，NAT线路选择正确的出口线路。比如192.168.0.10匹配了这条策略后，就会被转换成NAT地址池内的一个IP，转换后的端口会从1000-65535的端口分配1000个连续的端口给它。

   

2.6增加GRE线路

配置说明

根据互联需求配置GRE-LAN线路或者GRE-WAN线路。

1、GRE-LAN线路配置【应用路由】-【接口线路】-【LAN线路】-【添加】

   

【名称】：GRE通道在web界面展示的名字

【线路类型】：选择“GRELAN”

【LAN】：GRE隧道的承载线路

【对端地址】：GRE逻辑通道对端物理接口或者虚拟接口的IP地址

【超时时间】：Keepalive探测报文发送间隔，检测链路连通性

【下一跳】：当【LAN】与【对端地址】不是同一网段时使用，通过【LAN】路由到【对端地址】的下一跳IP。

GREWAN线路配置【应用路由】-【接口线路】-【WAN线路】-【添加】

【名称】：GRE通道在web界面展示的名字

【线路类型】：选择“GRELAN”

【网卡】：GRE隧道的承载线路

【对端地址】：GRE逻辑通道对端物理接口或者虚拟接口的IP地址

【超时时间】：Keepalive探测报文发送间隔，检测链路连通性

【心跳服务器】：使用线路对填写IP进行ping检测链路连通性

二. 优化改进

所属功能	优化项
代拨模块	l   支持CMCCPORTAL查询时获取代拨线路最后一次错误信息，PORTAL可以这个信息告诉用户失败原因；
流量控制模块	l   流量控制策略里，如果内网IP或外网IP里只有一个IP群组，删除这个IP群组后，这样内网IP或外网IP就变成ANY了，如果动作是BLOCK，就会造成严重问题。实际上这个时候含义已经完全变化了，原本是限制这个IP群组的，现在变成限制任意IP，所以这样的策略应该和以前版本一样做删除处理；
PPPOE代理模块	l   PPPOE代理账号上线后，可以发送认证日志，日志信息包括账号和IP对应关系；
在线用户	l   在线用户，可以安装组织架构的方式进行展示；
DPI模块	l   增加chknode_ontcpstart选项，这个选项默认为1，如果为0，那么在收到SYN包的时候，并不查找节点表，对于存在大量的SYN FLOODING的网络环境而言，关闭这个选项可以改进新建性能；并且不会对识别率有多少影响，但是对应用路由成功率可能会有影响；
日志发送模块	l   增加发送用户下线日志；    l   增加动态CGNAT日志；    l   将SYSLOG日志条目数从8K扩大到16K；
认证模块	l   完善认证模块用户上下线日志，以及下线原因；    l  临时用户最大在线数从1改成2，以支持短信认证时一个手机号码从PC和手机同时登录的场景；
网卡驱动	l   Linux网吧版，加入IXGBE2驱动，用以支持更多的网卡可以使用增强型驱动。
radsnif模块	l   增加IPv6地址属性支持，可以显示IPv6地址账号信息，并且可以限速
http管控模块	l   增加对IPV6的支持    l   去掉对refer内容的匹配
IPSEC模块	l   增加对 DES 和 3DES 算法的支持。    l   增加调试日志，可以使用命令/usr/ramdisk/bin/ikectl log list 查看日志。    l   预共享密钥的最大长度增加至 59 个字符
radius模块	l   将MAC免认证类型的NAS-Port-Type属性设置成19（无线）
跨三层取MAC模块	l   更新IP对象的MAC时，不刷新IP对象生存期

三. 页面更新

优化

1.  更新HTTPS证书，更新后页面会一直显示升级中，需要手动刷新一下页面;

2.  Linux版本，在web界面增加修改数据网卡的功能；

3.  PPPOE 用户组页面，增加“一键删除所有用户组”的功能；

4.  IP/MAC备注页面，增加批量编辑的功能；

5.  在线用户页面，增加组织架构的显示方式；

6.  增加动态CGNAT的设置页面；

7.  增加iWAN管道的设置页面；

8.  优化HTTP管控，TCP重置增加下一跳参数；

9.  “升级日志”页面，集中显示历史所有升级记录；

BUG修复

1.  修复编辑WAN线路，基础MAC和当前MAC显示不正确的BUG；

2.  修复登录页面，登录页面锁定倒计时显示不正确的BUG；

3.  解决页面提交+号时，变成空格的问题；

4.  修复编辑“文件类型”时，对应的HTTP管控策略会丢失的BUG；

四. BUG修复

1.  修复在线用户账号显示乱码的BUG

2.  修复TCP连接非首包也路由的BUG；

3.  修复CGNAT时连接被删除的BUG;

4.  修复使用CMCCPORTAL+代拨方式认证时，当代拨线路在线，第二次再发送COA做代拨时，会将所有的在线用户踢下线的BUG；

5.  修复CMCCPORTAL+代拨方式认证时，不能绑定代拨线路的BUG；

6.  修复本地PORTAL+RADIUS认证，RADIUS在Access Accept数据包种返回代拨信息，发现代拨能上线，但是radius账号没有上线的BUG。

7.  修复流控策略，内网IP端口是“xx，nn”格式时，重新启动后对应策略会丢失的BUG；

8.  修复CMCCPORTAL + Radius Accept方式代拨，如果数据包中没有指定VLAN，代拨不会使用地址池中的VLAN信息代拨的BUG；

9.  修复在某些情况下，从IWAN SERVER发出去的数据包的session id字段字节序错误的BUG；

10. 修复网卡混合模式下，IPv6 IP流量统计只有流入或流出的BUG;

11. 修复在做VRRP联动时，LACP数据报文被VRRP STANDBY模块丢弃的，导致VRRP切换不了问题;
12. 修复首次MAC免认证+COA代拨时，认证成功但是IP的认证状态不是connected的BUG;

13. 修复IP的代拨线路下线后，对应的CMCCPORTAL认证对象没有下线，修复这个BUG，同时记录下线原因为ACCTERM_SERVICE_UNAVALIABLE;

五. 特征库更新

1.  更新“手机电视“协议特征；（误识别成BT）

2.  更新“英雄联盟“协议特征（手游）；

3.  更新BSD和Linux下的traceroute协议特征，除了原有的ICMP特征外，还加入了UDP特征；

4.  更新“QQ音乐”协议特征；

5.  更新“YY直播”协议特征；

6.  更新“QUIC”协议特征；（Youtube）

7.  更新“QQ炫舞”协议特征；

8.  更新“摩尔庄园”协议特征；

9.  更新“暴雪补丁下载”协议特征；

10. 更新“崩坏学园”协议特征；

11. 更新“穿越火线”协议特征；

12. 更新“QQ课堂”协议特征；

13. 更新“倩女幽魂”协议特征；

14. 更新“腾讯游戏补丁下载”协议特征；

15. 更新“Uplay游戏更新”协议特征；

16. 更新“BOSS直聘”协议特征；

17. 更新“QQ音乐”协议特征；

18. 更新“凤凰网”协议特征

19. 更新“迅雷”协议特征；

20. 更新“其它HTTP下载”协议特征；

21. 更新“奇游加速器”协议特征；

22. 更新“迅游”协议特征；

23. 更新“海豚加速”协议特征；

24. 更新“腾讯网游加速”协议特征；

25. 更新“Brawlhalla”协议特征；

26. 更新“玲珑加速”协议特征；

27. 更新”Amongus”协议特征；

28. 更新“应届生求职”，后台用的是51JOB，合并到51JOB

29. 更新“领英“协议特征；

六. 特征库新增

1.   新增“Riotgames”协议特征；

2.   新增“网上招聘”协议组；

3.   新增“BOSS直聘”协议特征；

4.   新增“智联招聘”协议特征；

5.   新增“猎聘”协议特征；

6.   新增“前程无忧“协议特征

7.   新增“拉钩”协议特征；

8.   新增“58同城“协议特征；

9.   新增“兼职猫”协议特征；

10.  新增“Wireguard”协议特征；

11.  新增“讯飞听见”协议特征，合并到“云视讯/ZOOM”;

12.  新增“连信”协议特征；

13.  新增“小米云”协议特征；

14.  新增“Vivo云”协议特征；

15.  新增“移动云”协议特征；

16.  去掉“爱秀语言”协议特征；

17.  去掉“英雄三国”协议特征；

18.  去掉“真三国无双”协议特征；

19.  去掉“寻龙记”协议特征；

20.  去掉“倾国倾城”协议特征；

21.  去掉“海战世界”协议特征；

22.  去掉“非凡影音”协议特征；

23.  去掉“videospeed”协议特征；

24.  去掉“领秀娱乐”协议特征；

25.  去掉“TERA”协议特征；

26.  去掉“闪维”协议特征；

27.  去掉“游乐吧”协议特征；

28.  去掉“迅雷云点播”协议特征；

七.版本下载： 专业版、网吧版、SMB版的用户请不要下载升级！！！

基于FreeBSD9： https://download.panabit.com:8443/discuz/Panabit/20221026/PanabitFREE_TANGr3_20221026_FreeBSD9.tar.gz

基于Linux：https://download.panabit.com:8443/discuz/Panabit/20221026/PanabitFREE_TANGr3_20221026_Linux3.tar.gz

evergroup

这个版对MAC址的备注，无法备注