Panabit核心代号“唐r5p5”版本发布

chen.hong · 发表于 2023-10-24 16:04:23

一、功能优化

1、新增IPv4到IPv6转换功能

（1）应用场景:

在IPV6的场景中，用户内网还未完成IPV6的全面改造，但是对IPV6的出口流量有考核要求，因此将IPV4转换成IPV6来解决这个问题。

（2）实现原理:

当内网用户去访问域名时，用户访问域名流量经过Panabit后，Panabit会跟踪用户IPV4的DNS解析记录，同时主动去获取域名的IPV6解析记录，然后将用户后续访问域名业务的IPV4-IPV4的会话转换为IPV6-IPV6，整个过程对内网用户无感知。

（3）配置方法

网络管理->V4/V6转换配置:

V4/V6转换:

打开V4/V6 NAT模块；

IPV6 WAN线路:

选择一条IPV6的 WAN线路，会从这条线路转发V4/V6 NAT后的流量；

DNS解析线路:

选择一条IPV4的线路，用来产生AAAA类型的DNS请求，获取用户访问域名的AAAA记录；

默认DNS:

如果上面选择的DNS 解析线路没配置DNS，则使用这里配置DNS服务器获取用户访问域名的AAAA记录；

IPV6前缀:

用户NAT后的V6地址前缀，V6 NAT后源的ip为v6前缀+用户IPV4地址(16进制)；

前缀长度:

建议默认配置为64；(IPv6前缀长度指示了一个IPv6地址中网络前缀的位数，不同的前缀长度代表了不同的地址分配和网络规模。)

转换网站:

如果指定，则只对列表中的域名做IPV4/IPV6的转换。

不转换网站：

如果指定，对列表中的域名不做IPV4/IPV6的转换。

2、代拨模块

当代拨线路已经和BRAS连接成功，并且没有任何内网IP使用这条线路时，这条代拨线路处于空载状态；为了节省资源，处于空载状态的代拨线路在等待一定的时间（默认为60秒）后，会自动和BRAS断开，同时删除代拨线路；

用户希望这个参数设置大一些（比如600），避免频繁代拨，降低bras压力；如果代拨频繁的话，BRAS经常会延时响应；
但是ttl这个参数同时控制代拨线路的拨号等待时间，就是如果代拨线路拨号不成功时，代拨模块最大的等待时间，超过这个等待时间就认为拨号失败，同时给AAA返回代拨失败的消息；所以如果这个ttl参数过大，当不能成功拨号时，也会导致用户等待时间过长，严重影响客户的体验；

基于上述原因，增加datattl参数，用来控制代拨线路的最大空载时间，为了兼容现有用户，将这个参数默认值设为0，如果该值为0，则使用ttl参数值；

使用floweye ippxy config datattl=N设置参数，使用floweyeippxy stat | grep datattl可以查看参数当前值；

3、策略路由模块

在一医共体用户那里碰到一个奇怪的问题，我们的AX100替换出口设备上线收，用户的视频会议就中断，视频会议使用的是H323，但是使用路由策略，所以应该不是因为我们缺H323 ALG的原因。经过分析发现，视频会议的控制连接是TCP，这个TCP连接会一直保持，除非终端挂断。我们的策略路由是基于会话的，AX100接上去的时候，因为终端的TCP会话没有重新发起，没有SYN包，这部分流量会识别成无连接TCP，默认情况下Panabit也不会对无连接TCP的流量创建会话，路由模块也就没法转发。

通过命令floweye flow config tcpsetup_onnosyn=1，Panabit会对无连接TCP流量创建会话，但是即使创建了无连接TCP会话，但是策略路由模块依旧会忽略这条会话。仍然无法转发流量。

改进无连接TCP会话跟踪代码，解决无连接TCP流量也能匹配策略路由模块，问题解决。

一网吧用户有两条静态的WAN线路，游戏默认走第一条WAN线路，当这条线路DOWN后，游戏不能切换到另外一条线路，原因是游戏用的是UDP连接，在UDP连接没有老化前，路由还是挂在第一条线路上。解决方式是定期检查连接，当发现上述现象时，将UDP连接删除，后续包进来后重新创建连接，重新路由。

为了避免有不好的结果，在NAT模块增加rmvonpxydown参数，该参数默认为0，当为1时，执行上述检查

使用

floweye nat configrmvonpxydown=1|0

设置该参数，使用

floweye nat stat | greprmvonpxydown

获取参数当前值。

4、flow模块

在一行业客户那里，BGP环境，存在大量的SYN扫描，导致连接新建居高不下，最高峰flow新建超过200W/s。用户主要目的是旁路分析流量并记录会话日志，带有扫描性质的会话记录没有太大意义，并且消耗了大量的CPU资源，2000万PPS时系统还在丢包（PX51）。

为了解决上述问题，在flow模块增加tcpsetup_onsyn选项，这个选项默认为1，表示系统接收到SYN数据包就新建会话；如果为0，则接收到SYN包后不新建会话。

用户可以将tcpsetup_onack选项，设置为0（该选项默认也为1），在接收到SYN+ACK数据包时创建会话。
floweye flow config tcpsetup_onsyn=1|0来设置选项，使用floweyeflow stat | grep tcpsetup_onsyn查看选项当前值。

注意：网关部署时，不能开启这个功能。

5、流量控制模块

增加数据通道优先级个数。

当前数据通道最大支持的优先级为16，对于95%的用户，这个数字是可以满足要求的。河北一用户需要使用我们的系统替代bluecoat，需要用到大量的保证带宽和最大带宽限制，16个优先级根本不够，需要支持更多。因此在此版本里增加了优先级个数，默认还是16个，可以在/etc/PG.conf里增加一行“MAX_PRIORITY=N（N≤64）”参数来指定优先级个数。重启PANAOS生效。

6、DNS管控模块

增加请求类型匹配条件

在一些双协议栈的网络环境下，客户端会同时请求域名的IPv4和IPv6地址。客户端会同时发送两个DNS请求，一DNS请求解析IPv4地址，另外一DNS请求解析IPv6地址。一般DNS服务器都能解析出IPv6地址，但是实际中很多V6地址并不能提供实际的服务，所以需要将这部分DNS请求给DROP掉，不让客户端去访问域名对应的IPv6地址。
查询类型条件参，用来指定请求的地址类型，分别有“ANY”“IPV4”“IPV6”三个条件，顾名思义，如果是“IPV6”，则只匹配IPv6地址请求，如果是“IPV4”，则只匹配IPv4地址请求，如果参数为”any”，则匹配所有IP类型请求。

7、5G头增强识别模块

运营商处于安全考虑，要对在报文中插入的头增强信息（手机号）做加密处理。

因此改进5G身份识别模块，增加对RC4+ BASE64加密身份的支持；增加了两个参数encrypt=1 password=AAA，encrypt为1表示使用RC4算法，password参数保存RC4解密用的密码；

通过命令floweye huawei5g config encrypt=1password=AAA 来配置。使用floweye huawei5g stat查看选项当前值。

8、VRRP模块

当设置VRRP联动时，VRRP接口进入master状态，对所有WAN线路的NAT地址池发送免费ARP。这样对端交换机才能将NAT地址池内IP的流量切换到对应的端口上。

9、DPI模块

在做域名自定义协议时，通过DNS应答报文中的answers部分可以拿到域名和IP的对应关系，那么对应的目标IP流量就能识别成自定义协议。但是发现有些DNS应答报文的answer部分内容，域名的表达方式不一样，包含了实际域名（一般是用偏移量表示域名），此问题会影响自定义协议中的域名跟踪，导致识别异常，引起自定义的域名不能正确分流；针对这种情况作了优化处理，解决问题。

10、其它优化

更新AX系列网卡驱动；

优化IP对象管理模块，改进和其它模块协作效率；

IPSEC服务端支持RFC3457 NAT检测；

二、BUG修复

修复配置IPv6策略路由时，当下一跳为0.0.0.0的时候，会获取到错误地址的BUG；

修复在使用adauth模块接收来自AD域客户端脚本或AD域监控器发过来的用户上下线信息时，当IP的账号发生变化时，adauth模块并没有更新IP对应的账号信息的BUG；

修复当策略更新的瞬间，数据通道的算法有可能会导致优先级0的数据被丢弃的BUG；

三、页面更新

1. 修复SNMP白名单不保存问题

2. 有客户反馈备注信息太短，需要支持更多的备注信息；将策略的备注信息从64字节扩大到128字节；

3. 扩大账号名称长度到48字节将账号名称从36字节扩大到48字节；