一、新增功能
1.1.DHCP中继支持IPv6 IPv6地址分配 手动配置IPv6地址/前缀及其他如DNS等网络配置参数。 在没有DHCPv6服务的情况下基于ICMPv6的路由请求消息(RS)和路由通告消息(RA)消息获取前缀信息,然后与本机根据算法产生的接口ID组成IPv6地址后自动配置本机地址。 DHCPv6服务器自动分配IPv6地址/前缀以及其他如DNS服务地址等其他网络配置参数。 用户主机IPv6地址依然通过SLAAC路由通告方式自动生成,DHCPv6服务只分配除IPv6地址以外的,如DNS服务等其他网络配置参数。 ① 对于DHCPv6客户端发送给服务端的报文,DHCPv6中继将其封装在Relay-Forward报文的中继消息选项中,并将Relay-Forward报文发送给DHCPv6服务或下一跳中继。 ② DHCPv6服务端从Relay-Forward中解析除DHCPv6客户端的请求,并为DHCPv6客户端选取分配IPv6地址和网络配置参数,将应答消息封装在Relay-Reply报文的中继消息选项中,并将其发送给DHCPv6中继。 ③ DHCPv6中继从Relay-Reply报文中解析出DHCPv6服务端的应答,转发给对应的DHCPv6客户端。 客户端通过INFORMATION-REQUEST请求数据包,请求DNS服务和域。 客户端使用Solicit报文确定DHCPv6服务端的位置,并使用Request报文请求IPv6地址/前缀和其他网络配置信息。 配置方法:【网络管理】>【DHCP中继】
参数名称 | 参数说明 | IPv6中继线路 | 选择连接DHCPv6服务器的线路类型为IPv6的LAN线路 | IPv6服务器IP | 输入DHCPv6服务器的地址 |
1.2.DRCOM计费对接支持SLAAC 如上文所述,IPv6地址的分片总体可以分为有状态DHCPv6和无状态SLAAC两种分片方式。在SLAAC无状态分配方式之下,网关或路由器或使用SLAAC分配方式的DHCP服务器,均只知道用户的前缀信息,而无法知道用户具体的涵盖接口ID的完整IPv6地址。 在典型如高校等采用认证计费部署方案的网络中,DHCP服务器通常给定一个或多个48位前缀,再从这些前缀中分配64位的前缀给到终端。同时,由于计费DHCP Snooping时,也只能获取前缀信息,因此,当计费给BRAS(如Panabit)推送IPv6地址和账号对应关系时,也只包含前缀信息。 针对此特殊对接情况(如部分终端不支持有状态DHCPv6,只支持SLAAC),增加DRCOM支持配置前缀,用于将用户账号与IPv6地址建立对应关系,从而即能在此特殊情况之下,依然能够对用户进行策略控制等Panabit主要管控功能。 配置方法: 配置命令 | 说明 | floweye ipobj config drcom_prefix=2011::/48,2012::/48 | 设置前缀,多个之间使用【,(英文字符逗号)】分隔,最多支持4个 | floweye ipobj config drcom_prefix=NULL | 清除前缀设置 |
如下图所示,可以使用Panabit命令行工具直接输入执行
1.3.WEB认证支持IPv6Radius 使用WEB Portal和Radius认证时,Panabit使用IPv4线路和Radius服务器进行对接。当在IPv4/IPv6双栈部署的网络中,部分用户主机在经过WEB重定向之后,认证URL中用户IP使用IPv6地址。根据Radius协议规范,将用户地址为IPv6时也增加支持,并同时增加CMCC Portal、MAC记忆、免认证相关的支持。如下图所示,此时,Radius报文为对接的IPv4报文,报文对应的属性中包含用户的IPv6地址。
1.4.VRRP支持逻辑接口线路 过往版本中,VRRP只支持物理网卡状态的监测。在高可用场景中,对于如下拓扑。 如果上级防火墙切换了主备,可能物理接口并不会DOWN,而只是线路DOWN。从而,增加VRRP可自定义想要监测的线路或者网卡,用于切换Panabit的状态。VRRP切换条件可以是全部线路断开或任意一条线路断开后切换。 配置方法:【网络管理】>>【VRRP配置】
1.5.基于账号的共享限速 在流量控制与身份结合的场景中,通常流量控制建设方案采用基于用户账号进行限速,而限速的方式包含共享和非共享两种方式。 类型 | 限速效果 | 示例 | 共享 | 所有使用该账号登录的用户终端总和进行限速 | 账号A限速30Mbps
3个终端登录总和加起来不超过30Mbps | 非共享 | 每个使用账号登录的用户终端单独进行限速 | 账号A限速30Mbps 3个终端每个终端均最大速率可到30Mbps |
过往版本只支持非共享模式下的账号限速,因此,新增支持共享模式。 配置方法:【系统概况】>【在线用户】>【限速账号】>【参数设置】>【共享限速】 以上图共享限速30M为例,开启后,如下图所示账号对应的多个IP总和为30M。 【注意:默认为非共享,当设置共享限速时,需要先开启,后用户认证。同时,账号限速是通过地址池或者AAA下发。】
1.6.SNMP新增OID 新增自定义节点【vrrp-status】用以表征当前设备的VRRP工作状态 OID | 返回值 | 说明 | .1.3.6.1.4.1.58819.6.1.1 | vrrp-status | | .1.3.6.1.4.1.58819.6.2.1 | 0或1 | 0:Master
1:Backup |
新增支持使用SNMP Bulk Get方法获取在线用户IP-MAC列表,使用公共OID【.1.3.6.1.2.1.4.22.1.2】
1.7.操作日志发送PanaLog 为方便维护管理,将对Panabit设备的操作日志,可直接对接发送到PanaLog大数据日志平台系统。 【说明:PanaLog现发行版均已支持。】 配置方法:【系统维护】>>【日志对接】>>【操作日志】
二、功能优化 2.1.策略路由IP地址池ARP应答 在过往软件版本中,在配置策略路由的策略时若指定了SNAT IP地址池,上级网关在发送ARP请求SNAT地址池中IP时,Panabit未做ARP应答。将此行为优化为,当收到ARP请求时,根据线路和NAT IP的对应关系,进行ARP应答。
2.2.代拨地址池VLAN策略 在代拨场景下,默认使用发起方传递过来的VLAN参数,如CMCCPORTAL认证数据包传递的VLAN信息。而在部分场景中,内网接入设备不能去除QINIQ,需要提升使用地址池VLAN的优先级。因此,需要根据网络接入条件选择代拨VLAN所使用的策略。 优先使用地址池配置的VLAN信息 优先使用发起方(如CMCCPORTAL认证数据包)传递的VLAN信息 配置方法:【对象管理】>【账号管理】>【用户组】>【VLAN策略】
2.3.RadiusSniffer放通IP 在高校5G对接场景中,通常开启WEB认证,此时,无论Panabit上是否有用户账号信息,均会在用户访问网络时弹出Portal认证页面。对于如下描述特殊场景: 用户首次在运营商绑定账号并认证通过后,运营商会推送计费报文到Panabit,Panabit会从计费报文中获取到用户信息,此时,用户不应再重复弹出认证页面,表示Panabit已经获取到用户信息,用户已经认证通过。 因此,增加放通IP选项,对已经认证过的用户不再弹出认证页面。 配置命令 | 说明 | floweye radsnif config wapermit=1 | 1:对拿到用户信息的IP进行放通 0:默认值 |
2.4.内网IP统计性能 优化内网IP统计模块,降低内网IP统计对设备性能的消耗,大幅提升在IP内网统计下的数据处理性能。如下表所示,为使用官方硬件PX41测试数据可作参考。
以上表测试数据为例,内网IP统计关闭状态下,由于硬件相同,新老版本之间各报文长度之间没有差异。当IP统计为开启状态下时,性能成倍数提升。 【说明:测试工具为Panabit内置流量测试工具floweye if sendpkt。该工具也曾由第三方检测公司完成与常见网络测试仪的数据一致性测试。】
2.5.DHCP服务 将DHCP服务中支持的静态分配IP数扩大至8K。 【注意:只支持专业版】 改进IP地址分配算法,将管理地址、DHCP服务配置的网关以及所有逻辑虚接口线路所使用的地址全部排除在可分配的地址之外,避免被分配后可能引发地址冲突。
2.6.SAC支持离线AP历史记录 在大规模无线网络部署中,由于诸如内网网络故障、设备故障等情况造成AP离线,可以在离线AP以及SAC运行日志中,查看到当前离线的AP,默认情况下只在Panabit退出时保存(比如升级),因此,为防止突然断电等特殊情况导致离线AP信息丢失,增加配置参数,将离线AP信息进行及时保存,在Panabit恢复运行后依然可以进行查看。 查看方式:【无线AC】>>【AP管理】>>【离线AP】 配置命令 | 说明 | floweye sac config offap_log_intime=1 | 1:只要存在离线AP即进行及时存储 0:默认值 |
2.7.MAC记忆信息保存 MAC记忆功能使得用户在典型如无线漫游场景下IP发生变化时,无需重新认证即可访问网络。而在过往版本中,如需进行Panabit系统升级时,升级后由于MAC记忆信息未保存,导致所有用户在升级完成之后都需要重新进行认证。因此,优化工作过程为,当Panabit正常退出时,将MAC信息保存到内存盘文件中,正常启动完成后加载到运行状态中,以此,已经被MAC记忆的用户即无需二次重新认证。 - 保存信息未包含IP信息,因此,加载信息后,IP地址均为0.0.0.0
- 如果异常断电或Panabit异常退出,则不会保存信息
- 信息保存在内存盘中,所以设备操作系统重启后,信息会消失
2.8.长连接会话 2.8.1.场景一:无连接TCP跟踪的使用 典型远程视频会议拓扑简述如下: 视频会议使用协议为H323,协议上传输视频使用UDP,发起视频、发起语音会议、结束会议、心跳等连接控制使用TCP完成。TCP控制部分无论是否有会议发起,客户端与服务端始终保持和总部的通讯连接,即常说的长连接。当中间链路不通的时候,部分视频会议客户端和服务端的行为为不停地尝试重传,而未重新进行连接的建立。 由于Panabit的策略路由基于会话,而TCP会话的建立默认依赖于TCP的三次握手报文。默认情况下,上述应用环境下,由于视频会议客户端和服务端之间不会重新进行TCP握手,因此,如若在视频会议连接已经建立的情况下,进行Panabit升级或者替换,即需要使用无连接TCP跟踪。配置方式如下: 命令 | 说明 | floweye flow config tcpsetup_onnosyn=1 | 1:无SYN建立会话 0:默认收到SYN建立会话 |
在此场景下,由于视频会议不会发送握手报文,因此打开选项后,对于无连接TCP创建会话,数据包顺利进入策略路由模块。
2.8.2.场景二:无会话数据包转发的使用 常见于使用隧道封装且流出和流入路径不一致的场景,典型如下拓扑: 四台网关设备两两建立GRE隧道,GW1-2为Panabit的情况下,对于Panabit而言,用户访问服务器的数据为GRE隧道数据,而服务器回复给用户的数据为非GRE封装数据,即正常的用户数据。那么,在用户TCP握手建立连接的阶段,Panabit无法收到TCP的SYN报文(因为被GRE隧道封装),而可以收到TCP的SYN+ACK报文。同理,后续报文也同样只有服务器回复报文未经隧道状态经过Panabit。此时,需要使用无会话数据包转发。配置如下: 命令 | 说明 | floweye flow config tcpsetup_onack=0 | 0:无会话建立 1:默认会话建立 | floweye route config nullfwd_all=1 | 1:无会话转发 0:默认会话转发 |
  2.8.3.场景三:线路异常会话删除的使用 常见于互联出口多线的场景下,典型如下拓扑: SIP语音电话,使用UDP进行语音的传输,TCP作为电话呼叫控制与话机管理,其中,TCP始终不会重连,也是典型的长连接类型。 当某条出口线路异常断开时,SIP客户端的连接会话依然使用断开的线路,而不会从断开的线路上断开连接而重新建立连接。此时,需要使用线路异常会话删除。 命令 | 说明 | floweye nat config rmvonpxydown=1 | 1:线路异常删除会话 0:默认关闭 |
开启命令选项后,不区分路由模式或NAT模式,对断开线路的UDP和TCP会话均进行删除,从而使得连接重新建立而使用正常的线路。
2.9.IP拉黑支持时长控制 增加对IP黑名单内成员设置控制时长,到期后自动放行。默认值为0,即表示永久拉黑。 配置方法:【系统概况】>【在线用户】>【黑名单】>【添加】>【拉黑时长】
三、界面优化 3.1.流控策略、HTTP策略单独导出 【行为管理】>【流量控制】>【导入】/【导出】 【行为管理】>【HTTP管控】>【导入】/【导出】
3.2.域名群组支持域名全局搜索 在过往版本中,在【对象管理】>【域名群组】>【群组域名展示】中进行域名搜索时,需要知道域名关键字所对应的域名群组才可进行搜索。而在域名较多的情况下,通常忘记域名所处的域名群组而导致无法搜索。因此,增加域名的搜索方式,支持在整个域名群组中进行域名的全局搜索。 【对象管理】>【域名群组】>【群组域名展示】
3.3.页面、APP快捷访问 首页主菜单增加【快捷访问】菜单,可将常用的主菜单或者APP自定义加入。
四、BUG修复 序号 | | | | | 解决踢线CMCCPORTAL对象,如果该IP上有代拨对象时,未对代拨对象进行下线处理的问题 | | | 解决主备部署为备机状态时,SNMP查询线路失败的问题 | | | 解决iWAN镜像对数据分片后,iWAN服务端识别异常的问题 | | | 解决交换机返回了非预期的IP/MAC导致跨三层取MAC失败的问题 | | | | | | 解决VRRP接口处于Backup状态仍然可以收发业务数据包的问题(同时处于Master状态周期发送ARP或unsolicited NA报文) | | | | | | | | | 解决OSPF实例区域ID使用IP地址导致区域内宣告接口无法查看的问题 | | | | | | 解决使用iWAN互联配置端口映射策略后,在服务端开启端口回流功能后,无法访问的问题 | | | 解决用户通过MAC记忆上线后,本地账号最后上线时间未更新的问题 | | | 解决DNS重定向列表只有V6地址时,可能引发崩溃的问题 | | | | | | | | | | | | | | | | | | 解决网卡处于混合模式下,流量统计只有单向流量的问题 | | | | | | | | | 解决IPSec服务端配置多感兴趣流只生效第一个的问题 | | | 解决同一网卡多条监测告警策略时,只生效第一条的问题 | | | | | | | | | 解决转发数据包MAC地址不正确导致同一MAC在交换机多个端口出现的问题 | | | |
五、升级说明 5.1.支持说明 Panabit各版本软件升级包区分硬件架构和操作系统,需要根据所使用的产品进行相应的选择。 类型 | 说明 | 升级包格式 | x86/Linux | x86硬件架构,基于Linux操作系统 | Panabit**_*_*_Linux3.* | x86/FreeBSD | x86硬件架构,基于FreeBSD操作系统 | Panabit**_*_*.FreeBSD9.* | arm/Linux | ARM硬件架构,基于Linux操作系统 | Panabit**_*_*.arm64.* |
5.2.前置条件 - 本文档针对已经使用Panabit的设备进行升级说明
- 对于全新安装Panabit请参考官方论坛或技术支持服务热线
- 授权许可在有效期内
5.3.注意事项 - 需参照对应硬件产品平台选择对应关键词标识的升级包
- 需参照对应商用版本标识选择对应的升级包
- 升级过程中可能网络中断
5.4.升级流程 ② 访问Panabit设备【升级中心】 ③ 【升级系统】选择下载的升级包 ④ 【确定】升级,等待升级完成即可
五、下载地址
标准版:
IPTV:
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版/网吧版/SMB版)。
其中,ARM架构的Panabit(如AX50系列),请选择ARM的专业版或网吧版进行下载。 |