Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 5484|回复: 5

Panabit核心代号“唐r5p5”版本发布

[复制链接]
发表于 2023-10-24 16:04:23 | 显示全部楼层 |阅读模式
一、功能优化

1、新增IPv4到IPv6转换功能
(1)应用场景:
         在IPV6的场景中,用户内网还未完成IPV6的全面改造,但是对IPV6的出口流量有考核要求,因此将IPV4转换成IPV6来解决这个问题。
(2)实现原理:
当内网用户去访问域名时,用户访问域名流量经过Panabit后,Panabit会跟踪用户IPV4的DNS解析记录,同时主动去获取域名的IPV6解析记录,然后将用户后续访问域名业务的IPV4-IPV4的会话转换为IPV6-IPV6,整个过程对内网用户无感知。
(3)配置方法
网络管理->V4/V6转换配置:
1.png
                              
V4/V6转换:
打开V4/V6 NAT模块;
IPV6 WAN线路:
选择一条IPV6的 WAN线路,会从这条线路转发V4/V6 NAT后的流量;
DNS解析线路:
选择一条IPV4的线路,用来产生AAAA类型的DNS请求,获取用户访问域名的AAAA记录;

默认DNS:
如果上面选择的DNS    解析线路没配置DNS,则使用这里配置DNS服务器获取用户访问域名的AAAA记录;

IPV6前缀:
用户NAT后的V6地址前缀,V6 NAT后源的ipv6前缀+用户IPV4地址(16进制)

前缀长度:
建议默认配置为64(IPv6前缀长度指示了一个IPv6地址中网络前缀的位数,不同的前缀长度代表了不同的地址分配和网络规模。)

转换网站:
如果指定,则只对列表中的域名做IPV4/IPV6的转换。

不转换网站:
果指定,对列表中的域名不做IPV4/IPV6的转换。

2、代拨模块
当代拨线路已经和BRAS连接成功,并且没有任何内网IP使用这条线路时,这条代拨线路处于空载状态;为了节省资源,处于空载状态的代拨线路在等待一定的时间(默认为60秒)后,会自动和BRAS断开,同时删除代拨线路;
用户希望这个参数设置大一些(比如600),避免频繁代拨,降低bras压力;如果代拨频繁的话,BRAS经常会延时响应;
但是ttl这个参数同时控制代拨线路的拨号等待时间,就是如果代拨线路拨号不成功时,代拨模块最大的等待时间,超过这个等待时间就认为拨号失败,同时给AAA返回代拨失败的消息;所以如果这个ttl参数过大,当不能成功拨号时,也会导致用户等待时间过长,严重影响客户的体验;
基于上述原因,增加datattl参数,用来控制代拨线路的最大空载时间,为了兼容现有用户,将这个参数默认值设为0,如果该值为0,则使用ttl参数值;
使用floweye ippxy config datattl=N设置参数,使用floweyeippxy stat | grep datattl可以查看参数当前值;
2.png

3、策略路由模块
在一医共体用户那里碰到一个奇怪的问题,我们的AX100替换出口设备上线收,用户的视频会议就中断,视频会议使用的是H323,但是使用路由策略,所以应该不是因为我们缺H323 ALG的原因。经过分析发现,视频会议的控制连接是TCP,这个TCP连接会一直保持,除非终端挂断。我们的策略路由是基于会话的,AX100接上去的时候,因为终端的TCP会话没有重新发起,没有SYN包,这部分流量会识别成无连接TCP,默认情况下Panabit也不会对无连接TCP的流量创建会话,路由模块也就没法转发。
通过命令floweye flow config tcpsetup_onnosyn=1,Panabit会对无连接TCP流量创建会话,但是即使创建了无连接TCP会话,但是策略路由模块依旧会忽略这条会话。仍然无法转发流量。
改进无连接TCP会话跟踪代码,解决无连接TCP流量也能匹配策略路由模块,问题解决。
一网吧用户有两条静态的WAN线路,游戏默认走第一条WAN线路,当这条线路DOWN后,游戏不能切换到另外一条线路,原因是游戏用的是UDP连接,在UDP连接没有老化前,路由还是挂在第一条线路上。解决方式是定期检查连接,当发现上述现象时,将UDP连接删除,后续包进来后重新创建连接,重新路由。
为了避免有不好的结果,在NAT模块增加rmvonpxydown参数,该参数默认为0,当为1时,执行上述检查
使用
floweye nat configrmvonpxydown=1|0
设置该参数,使用
floweye nat stat | greprmvonpxydown
获取参数当前值。
3.png

4、flow模块
在一行业客户那里,BGP环境,存在大量的SYN扫描,导致连接新建居高不下,最高峰flow新建超过200W/s。用户主要目的是旁路分析流量并记录会话日志,带有扫描性质的会话记录没有太大意义,并且消耗了大量的CPU资源,2000万PPS时系统还在丢包(PX51)。
为了解决上述问题,在flow模块增加tcpsetup_onsyn选项,这个选项默认为1,表示系统接收到SYN数据包就新建会话;如果为0,则接收到SYN包后不新建会话。
用户可以将tcpsetup_onack选项,设置为0(该选项默认也为1),在接收到SYN+ACK数据包时创建会话。
floweye flow config tcpsetup_onsyn=1|0来设置选项,使用floweyeflow stat | grep tcpsetup_onsyn查看选项当前值。
注意:网关部署时,不能开启这个功能。

5、流量控制模块
增加数据通道优先级个数。
当前数据通道最大支持的优先级为16,对于95%的用户,这个数字是可以满足要求的。河北一用户需要使用我们的系统替代bluecoat,需要用到大量的保证带宽和最大带宽限制,16个优先级根本不够,需要支持更多。因此在此版本里增加了优先级个数,默认还是16个,可以在/etc/PG.conf里增加一行“MAX_PRIORITY=N(N≤64)”参数来指定优先级个数。重启PANAOS生效。
4.png

6、DNS管控模块
增加请求类型匹配条件
在一些双协议栈的网络环境下,客户端会同时请求域名的IPv4和IPv6地址。客户端会同时发送两个DNS请求,一DNS请求解析IPv4地址,另外一DNS请求解析IPv6地址。一般DNS服务器都能解析出IPv6地址,但是实际中很多V6地址并不能提供实际的服务,所以需要将这部分DNS请求给DROP掉,不让客户端去访问域名对应的IPv6地址。
查询类型条件参,用来指定请求的地址类型,分别有“ANY”“IPV4”“IPV6”三个条件,顾名思义,如果是“IPV6”,则只匹配IPv6地址请求,如果是“IPV4”,则只匹配IPv4地址请求,如果参数为”any”,则匹配所有IP类型请求。
5.png

7、5G头增强识别模块
运营商处于安全考虑,要对在报文中插入的头增强信息(手机号)做加密处理。
因此改进5G身份识别模块,增加对RC4+ BASE64加密身份的支持;增加了两个参数encrypt=1 password=AAA,encrypt为1表示使用RC4算法,password参数保存RC4解密用的密码;
通过命令floweye huawei5g config encrypt=1password=AAA 来配置。使用floweye huawei5g stat查看选项当前值。

8、VRRP模块
当设置VRRP联动时,VRRP接口进入master状态,对所有WAN线路的NAT地址池发送免费ARP。这样对端交换机才能将NAT地址池内IP的流量切换到对应的端口上。

9、DPI模块
在做域名自定义协议时,通过DNS应答报文中的answers部分可以拿到域名和IP的对应关系,那么对应的目标IP流量就能识别成自定义协议。但是发现有些DNS应答报文的answer部分内容,域名的表达方式不一样,包含了实际域名(一般是用偏移量表示域名),此问题会影响自定义协议中的域名跟踪,导致识别异常,引起自定义的域名不能正确分流;针对这种情况作了优化处理,解决问题。

10、其它优化
更新AX系列网卡驱动;
优化IP对象管理模块,改进和其它模块协作效率;
IPSEC服务端支持RFC3457 NAT检测;

二、BUG修复

修复配置IPv6策略路由时,当下一跳为0.0.0.0的时候,会获取到错误地址的BUG;
修复在使用adauth模块接收来自AD域客户端脚本或AD域监控器发过来的用户上下线信息时,当IP的账号发生变化时,adauth模块并没有更新IP对应的账号信息的BUG;
修复当策略更新的瞬间,数据通道的算法有可能会导致优先级0的数据被丢弃的BUG;

三、页面更新

1.   修复SNMP白名单不保存问题
2.   有客户反馈备注信息太短,需要支持更多的备注信息;将策略的备注信息从64字节扩大到128字节;
3.   扩大账号名称长度到48字节将账号名称从36字节扩大到48字节;
4.   导入域名群组,增加“追加/覆盖”的选择;
5.   更新菜单,优化菜单搜索功能
6.   优化Ping页面,增加实时统计和趋势图

四、特征库更新

更新2种协议

五、 下载地址

标准版:

Linux: PanabitFREE_TANGr5p5_20231103_Linux3.tar.gz (4.63 MB, 下载次数: 221)

FreeBSD: PanabitFREE_TANGr5p5_20231103_FreeBSD9.tar.gz (4.26 MB, 下载次数: 279)


专业版:

Linux: PanabitOEM_TANGr5p5_20231103_Linux3.tar.gz (5.12 MB, 下载次数: 109)

FreeBSD: PanabitOEM_TANGr5p5_20231103_FreeBSD9.tar.gz (4.45 MB, 下载次数: 129)

ARM: PanabitOEM_TANGr5p5_20231103_arm64.tar.gz (4.53 MB, 下载次数: 100)


网吧版:

Linux: PanabitWB_TANGr5p5_20231103_Linux3.tar.gz (4.87 MB, 下载次数: 72)

FreeBSD: PanabitWB_TANGr5p5_20231103_FreeBSD9.tar.gz (4.41 MB, 下载次数: 80)

ARM: PanabitWB_TANGr5p5_20231103_arm64.tar.gz (4.51 MB, 下载次数: 56)


SMB版:

Linux: PanabitSMB_TANGr5p5_20231103_Linux3.tar.gz (4.77 MB, 下载次数: 57)

FreeBSD: PanabitSMB_TANGr5p5_20231103_FreeBSD9.tar.gz (4.38 MB, 下载次数: 57)




下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版/网吧版/SMB版)。

其中,ARM架构的Panabit(如AX50系列),请选择ARM的专业版或网吧版进行下载。



发表于 2023-10-25 07:11:16 | 显示全部楼层
几百年了终于有这个功能了
发表于 2023-10-25 07:17:05 | 显示全部楼层
PPPOE V6 什么时候支持
发表于 2023-10-25 11:14:36 | 显示全部楼层
端口映射用不了,提示解析返回数据出错
发表于 2023-12-22 11:05:40 | 显示全部楼层
升级提示联系厂家是什么回事
发表于 2023-12-27 21:58:24 | 显示全部楼层
我的还是R5.51[NANBEI(南北朝)r5p1],也不考虑升级了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-10-10 12:17 , Processed in 0.100942 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表