Panabit 腾讯云/华为云/阿里云安装配置指南

cqh123

1. 产品简介

Panabit智能应用网关是专门为政府、企业、教育、运营商、医疗、金融等行业提供高性能、高可用性、功能丰富的出口一体化智能应用网关。目前设备最高处理性能为单向100Gbps，适用于同时在线80万人的网络场景。能够满足用户对网络接入、管控、优化和审计的全方位需求，赋予用户细粒度的可视、可控的网络管理能力，同时又能够提供高性能防火墙、上网认证、上网行为管理、流量控制、智能链路负载均衡和网络大数据等其他增值服务。

2. 应用场景

Panabit智能应用网关功能集成化高，一台设备即可满足应用路由、负载均衡、智能DNS、NAT、认证、DHCP、HTTP访问控制、MAC绑定、DDNS、配置同步、权限分级、管理日志、系统警告等需求。主要应用包括但不限于以下场景：

2.1.   流量管控场景

Panabit智能应用网关支持对流量的应用分类，能做到精准识别、准确评估和实时控制，实现各类网络尤其是复杂网络情况下的流量控制目标，赋予用户细粒度的可视、可控的网络管理能力。

Panabit还可为TAP分流器，通过对流量整合、多镜像输入、应用级精细化分流，并与其他安全分析设备配合，极大缓解核心交换机的镜像压力。同其他TAP分流器不同的是，Panabit工作在应用层，能够基于应用做流量的按需分流或复制。

2.2.   链路负载优化场景

Panabit智能应用网关支持新一代应用级负载均衡，除了传统网络层的负载均衡外，还可以实现基于应用层协议、基于域名、基于服务器等下一代负载均衡。可实现kb级的应用切片以及应用分流，达到流量调优效果，在降低链路成本的同时，保障关键业务。

2.3.   SD-WAN

Panabit SD-WAN解决了客户多分支互联、业务卡顿、组网困难、故障定位不准确的问题。不仅能够为多分支机构提供快速、灵活、低成本的广域网接入方案，还可以带来高性能且与实际业务更加贴合的安全组网体验，为实现数字化转型提供强劲助力。

2.4.   实名认证场景

Panabit智能应用网关支持上网接入认证，包括不限于：本地认证、短信认证、微信认证、PPPoE认证，并支持结合AD域和LDAP等多种认证方式，将互联网行为与真实人员关联，便于定位互联网行为的主体。

Panabit智能应用网关还能自定义配置认证页面，自定义认证的黑白名单对象，过滤非法匿名用户，放行合法用户。

2.5.   网络合规审计场景

基于精准的应用识别，Panabit智能应用网关提供超越传统4层设备的（包含7层信息）1:1 全量日志，在当前相关部门对于敏感应用事件逐渐提高关注度的背景下，配合 Panalog日志，Panabit智能应用网关能够满足151号令，为用户提供全面记录、了解、分析以及掌握网络细节和趋势的能力。

3. Panabit腾讯云配置
3.1.   前置条件与约束

前提条件

1，完成虚拟化环境的注册和安装。

2，完成Panabit许可的购买，标准版（免费版）除外。

3，使用网关模式部署。

4，需要配置64位的操作系统。

注意事项

配置此功能时可能造成业务中断，请在业务较少的夜间或周末进行配置。

3.2. 虚拟化配置及性能要求

系统名称	处理性能（吞吐）	虚拟化配置	操作系统
Panabit  云网关	500Mbps	CPU：4核心    内存：16G内存    存储：4GB	CentOS7.9
	1  Gbps	CPU：8核心    内存：16G内存    存储：4GB	CentOS7.9
	4Gbps	CPU：14核心    内存：32G内存    存储：4GB	CentOS7.9

3.3.  配置流程

序号	步骤项	备注
1	配置腾讯云环境	已有云服务器可跳过此步骤
2	安装Panabit
3	Panabit上线配置
4	iWAN对接

3.4. 配置步骤
3.4.1. 配置腾讯云环境

操作步骤

步骤1 在腾讯云官网上（https://cloud.tencent.com/）购买服务器后，根据安装配置向导完成部署。（镜像选择Centos7.6 64位）

步骤2 选择【控制台】>【云服务器】。

步骤3 单击【实例】，登录虚拟机，选择公网IP登录。

步骤4 进入到配置界面，则表示安装成功。

3.4.2.安装Panabit

操作步骤

步骤1 记录下网卡的IP（ifconfig）和网关（netstat -rn），步骤4需使用。

步骤2 在Panabit官网（https://www.panabit.com/download）下载安装包，下载时选择对应架构的Linux版本。

步骤3 下载完成后将安装包上传（rz）至云服务器，然后解压(tar -zxf)，再运行安装程序(./ipeinstall)。当看到“Please choose one ofabove as your admin interface: ”时，表示安装成功。

步骤4  配置管理口IP和业务口。管理口选择eth0，IP和网关与Linux机复用，业务口选择eth0（因为这该主机只分配了一个公网IP，实际配置下根基公网分配的情况去选择，就不建议选eth0）。

步骤5 开启Panabit，输入 "/usr/panabit/bin/ipectrlstart"开启进程（可输入"/usr/panabit/bin/ipectrlstop"结束进程），首次配置需重启（reboot），重启后便可使用Panbit。

3.4.3.Panabit上线配置

操作步骤

步骤1 在浏览器用https访问公网IP，即可打卡Panabit的web控制界面。

步骤2 单击【网卡设备】，将eth0的方向设置为【接外】，然后【确定】下发。

步骤3 点击【LAN/WAN】>【添加】，添加wan线路。名称wan（可自拟），网卡为eth0，ip和网关复用linux-eth0，克隆MAC为eth0网卡MAC。

步骤4 单击【IPV4路由/NAT】>【添加】，添加策略路由，策略序号表示优先级，NAT线路选择步骤3创建的wan线路。

结果验证

单击【LAN/WAN】将鼠标移动到“WAN”点击【查看状态】，然后点击ping。

由于腾讯云的内网网关是禁ping的，所以要将目标ip换为公网服务器IP（如百度服务器IP）。然后点击【开始】，能正常ping通，表示网络连通性正常。

3.4.4.iWAN配置

步骤1 单击【对象管理】>【账号管理】，添加一个组织架构，并配置地址范围DNS,让iWAN客户端使用。

步骤2 点击【账号管理】>【本地账号】，添加一个本地账号，配置账号密码、有限期等。

步骤3 点击【虚拟专网】>【iWAN服务】，添加一个服务列表，配置服务器名称和网关。

步骤4 单击【iWAN服务】>【服务映射】，配置一个端口并映射到承载wan线路。

结果验证

在Panabit-iWAN客户端设备上，单击【虚拟专网】>【iWAN客户端】，配置iWAN客户端，输入服务器IP和正确的账号密码后即可连接成功。

拨号成功后iWAN-服务端效果展示：

拨号成功后iWAN-客户端效果展示：

3.5.  配置命令

序号	命名	说明
1	ifconfig	查看网卡及
2	netstat -rn	查看路由表
3	rz	上传文件
4	tar -zxf	解压文件
5	/usr/panabit/bin/ipectrl start	开启panabit进程
6	/usr/panabit/bin/ipectrl stop	结束pananbit进程

3.6.  FAQ            
3.6.1.如果腾讯云只申请了一个公网ip，PA管理口与业务口地址如何分配？

答：如果腾讯云只申请了一个公网ip，那么安装Panabit的时候管理口和业务口需要共用一个接口IP。

3.6.2.为什么iWAN配置下发后，不能拨号连接成功？为什么iWAN连接成功后，总部和分部的流量还是不互通？

答：iWAN连接不成功问题排查：1）cs两端的承载线路是否能正常ping通；2）客户端服务器IP是否是服务端的承载线路IP，如果网络中间有NAT策略，IP应作适当修改。3）腾讯云上的有关端口是否做了放通策略。4）iWAN服务端的用户地址池是否还有地址分配，最大连接数是否超过上线。iWAN连接成功后，流量不通：cs两端是否做了策略路由，将对应的流量引入iWAN隧道。

4. Panabit华为云配置

4.1.   前置条件与约束

前提条件

已完成对华为云服务器的注册和购买

注意事项

本教程选用2核（vCPU）4G内存，环境为CentOS7.9版本，Linux内核版本太高可能导致安装失败。

4.2.   虚拟化配置及性能说明

系统名称	处理性能（吞吐）	虚拟化配置	操作系统
Panabit 云网关	500Mbps	CPU：4核心    内存：16G内存    存储：4GB	CentOS 7.6    CentOS 7.9
	1 Gbps	CPU：8核心    内存：16G内存    存储：4GB	CentOS 7.6    CentOS 7.9
	4Gbps	CPU：14核心    内存：32G内存    存储：4GB	CentOS 7.6    ssssCentOS 7.9

4.3.   配置流程

序号	步骤项	备注
1	华为云环境准备与连接	已有云服务器可跳过此步骤
2	华为云Panabit快速安装	快速安装成勋安装
3	华为云Panabit配置与调试	Panabit上线基本功能可用
4	SD-WAN配置	Iwan隧道对接

4.4.   配置步骤
4.4.1.华为云环境准备与连接

正确的在阿里云上安装CentOS镜像，并能正常连接到服务器

操作步骤

步骤1 华为云环境准备。

1.   本教程选用2核（vCPU）4G内存，环境为CentOS7.9版本。

2.   环境配置选好之后，进入实例，勾选华为云分配的实例，点击【远程连接】。

3.   通过CloudShell登录，，忘记密码时，可通过重置密码进行修改。

4.   配置安全组

1)   设置入方向规则。

2)   设置出方向规则。

4.4.2.华为云Panabit快速安装

使用自动安装包进行安装Panabit，工具包如下：

install_panabit (kdocs.cn)

操作步骤

步骤1 将上述的自动安装包下载到桌面的指定位置

步骤2 双击安装程序，填写服务器IP、服务器密码、网卡名字（一般为eth0）按提示在云服务器后台输入/usr/panabit/bin/ipectrlstart。

1.   双击安装程序，GUI.exe

2.   填写服务器IP、服务器密码、网卡名字。

3.   华为云服务器后台执行/usr/panabit/bin/ipectrlstart。

4.   本地访问https://华为云服务器公网IP，如果访问不了，可能是该Panabit版TLS协议版本较低，需要在QQ浏览器中打开web管理页面，这个时候如果无法打开，可能是阿里云服务器把443端口禁止掉了，需要在安全组中配置443端口的白名单；登录成功界面如下：

4.4.3.华为云Panabit配置与调试

导入授权之后，升级到官网最新版本。

操作步骤

步骤1 登录华为云服务器后台通过ifconfig、netstat -rn查看IP及网关。

步骤2 配置网卡。

步骤3 添加wan线路，需要填写的内容有：

1.   填写线路名称

2.   线路类型选择为静态IPv4

3.   选择网卡

4.   填写IP

5.   选择正常网关

6.   填写克隆mac地址

7.   上述操作完成后，点击确定保存

步骤4 验证线路状态，Ping检测工具ping223.5.5.5测试连通性。

4.4.4.SD-WAN配置

步骤1 iWAN地址池创建。

1.   【对象管理】>【账号管理】>【组织架构】，点击添加，选择上级节点，名称和地址范围，点击确认保存。

2.   【本地账号】，选择“1”创建的用户组，设置账号名和密码，添加开通日期和截至日期，点击确定，地址池就创建完毕。

步骤2 创建iWAN服务器。

1.   【虚拟专网】>【iWAN服务】>【服务列表】，点击添加，填写服务器名称、服务网关名称，设置MTU修改为1420，地址池选择上个步骤中创建好地址池，点击确定保存；

2.   再进入服务映射,选择映射线路为步骤1中创建的wan线路，填写映射端口，选择服务列表中的添加好的服务，点击添加。

添加之后，iwan服务已创建完成。

步骤3 添加默认路由。

【网络管理】>【路由策略】添加一条策略，填写策略序号，执行动作为NAT，选择NAT线路；此步骤为分支需要通过华为云PA上网配置；

步骤4 验证iwan服务，iwan客户端拨号验证，添加iWAN客户端。

1.   在【虚拟专网】>【iWAN客户端】，点击添加，输入名称，选择一个承载的WAN线路。

2.   填写iWAN参数：服务器IP/域名，需要填写服务端的iWAN承载线路的IP，这里为云服务器公网的IP，服务器端口填写服务端上服务映射中设置好的映射端口。

3.   填写iWAN的账号密码。

4.   展开高级，修改MTU和服务端一致，为1420。

5.   完成上述设置后，点击确定保存，iWAN客户端就创建完成了。

6.   成功连接界面如下，可以在客户端上查看流入流出速率、连接数、连接时间。

7.   在云端iWAN服务端也可以查看到在线的iWAN客户端详情。

4.5.   FAQ

4.5.1. 重启之后连不上SSH的方法

华为云服务器ssh连接问题_华为云ssh连不上-CSDN博客：https://blog.csdn.net/weixin_40143280/article/details/89398304

4.5.2.安装成功之后进不去web界面

1.   Panabit版TLS协议版本较低，需要在QQ浏览器中打开web管理页面

2.   重启httpd进程，命令：/usr/system/bin/ipectrl stop httpd（停止）/usr/system/bin/ipectrlstart httpd（启用）

3.   重启云服务（重要业务切勿随意操作）

5. Panabit阿里云配置
5.1.   前置条件与约束

前提条件

已完成对阿里云服务器的注册和购买。

注意事项

本教程适用于单网卡云服务器的Panabit部署，三个以上网卡服务器的部署方法可以参考Linux上配置Panabit的教程。

5.2.  虚拟化配置及性能说明

系统名称	处理性能（吞吐）	虚拟化配置	操作系统
Panabit 云网关	500Mbps	CPU：4核心 ，    内存：16G内存，    存储：4GB	CentOS 7.6    CentOS 7.9
	1 Gbps	CPU：8核心 ，    内存：16G内存，    存储：4GB	CentOS 7.6    CentOS 7.9
	4Gbps	CPU：14核心 ，    内存：32G内存，    存储：4GB	CentOS 7.6    ssssCentOS 7.9

5.3.  配置流程

序号	步骤项	备注
1	阿里云环境准备与连接	已有云服务器可跳过此步骤
2	阿里云Panabit常规步骤安装	常规安装
3	阿里云Panabit快速安装	脚本快速安装
4	阿里云Panabit配置与调试	Panabit上线基本功能可用
5	SD-WAN配置	使用派网自研iWAN隧道协议

5.4.  配置步骤
5.4.1.阿里云环境准备与连接

正确的在阿里云上安装CentOS镜像，并能正常连接到服务器

操作步骤

步骤1 阿里云环境准备。

1.   本教程选用2核（vCPU）4G内存，环境为CentOS7.9版本。

2.   环境配置选好之后，进入实例，勾选阿里云给你分配的实例，点击【远程连接】。

步骤2 连接到云上的CentOS。

在弹出的页面中，选择登录方式，默认为WorkBench远程连接，可以根据需求更换连接方式，点击展开其他登录方式，更换连接方式：

1.   WorkBench远程连接。

1)   点击立即登录之后，进入到下面的界面，选择公网或私网连接，认证方式为密码认证。

2)   由于是第一次登录，未设置密码，点击右下角重置密码按钮进行，对密码进行设置，点击【在线重置密码】。

3)   操作中点击file:///C:/Users/LIQING~1/AppData/Local/Temp/msohtmlclip1/01/clip_image013.jpg展开，可以对实例进行远程操作。

4)   密码修改完成后，点击登录远程实例，登录进来的页面如下，如果登录报错，请查看FAQ中的链接进行排查

2.   VNC登录。

输入用户名和密码之后，直接登录到下面的界面。

3.   使用SesureCRT、Xshell、PuTTY，远程终端工具进行SSH连接，以SesureCRT为例。

1)   点击实例。

2)   在配置信息中查看公网IP。

3)   打开SesureCRT，新建一个会话。

4)   协议选择SSH2。

5)   输入主机名和用户名，SSH端口默认为22，点击下一步。

6)   协议默认为SFTP，点击下一步。

7)   按需要求修改会话名称，点击完成。

8)   点击接受并保存。

9)   输入密码登录，单击【确定】。

结果验证

完成了上述的操作之后，可以正常连接配置在阿里云上的CentOS，阿里云环境准备工作就已经完成了，下面开始在阿里云环境下部署Panabit。

5.4.2. 阿里云Panabit常规步骤安装

通过此操作，可以将Panabit部署到阿里云上。

操作步骤

步骤1 安装包获取。

由于公有云只能配置单网卡，所以需要特殊的Panabit安装包，安装包链接如下：

https://bbs.panabit.com/forum.php?mod=attachment&aid=MTI4OTd8MTgwZTc5Mjd8MTcxNTI0MTMzNXw0MDAyNjJ8MjI2NTc%3D

步骤2 安装包上传及解压。

1.   使用rz命令，将安装包上传到云上

1)   先使用rpm -qa | grep lrzsz验证是否安装rz软件包，如果没有回显，说明未安装，需要安装rz软件包。

2)   安装rz软件包命令：yum install -y lrzsz。

3)   再检查是否安装成功。

4)   再进行上传操作，输入rz，会弹出窗口，把安装包上传即可。

2.   打开根目录，查看Panbit安装包是否上传成功，进行解压操作，tar -xzf PanabitVirtio_NANBEIr3_20200301_Linux3.tar.gz

步骤3 Panabit安装。

1.   cd进入panabit解压好的目录，执行./ipeinstall进行安装系统会自动创建目录：系统目录/usr/panabit、日志目录/usr/oanalog、配置文件目录/usr/panaetc。

2.   设置管理口网卡，管理口IP、掩码及网关，ip设置和云服务器ip设置相同。

1)   云服务器IP，使用ifconfig查看。

2)   网关使用netstat -rn查看。

3)   设置管理口以及数据口，由于只有一张网卡，所以设置为同样的IP地址。

3.   重启后配置生效，输入/usr/panabit/bin/ipectrlstart开启Panabit。

4.   在本地访问https://阿里云服务器公网IP，如果访问不了，可能是该Panabit版TLS协议版本较低，需要在QQ浏览器中打开web管理页面，这个时候如果无法打开，可能是阿里云服务器把443端口禁止掉了，这个时候，我们就需要在安全组中配置443端口的白名单，操作如下：

1)   点击安全组，选中部署了Panabit的云服务器。

2)   点击手动添加。

3)   目的选择443，授权对象填写0.0.0.0/0。

4)   完成上述的操作后，这个时候就可以正常访问了。

5.4.3. 阿里云Panabit快速安装

快速安装使用快速安装软件进行安装，步骤如下：

步骤1 快速安装软件

install_panabit (kdocs.cn)

步骤2 解压后，点击打开GUI.exe，输入阿里云服务器的公网IP、密码以及管理口名称

步骤3 成功安装后重启设备或者在服务器上执行/usr/panabit/ipctrl start

5.4.4. 阿里云Panabit配置

对网络管理中的WAN线路进行创建。

步骤1 点击【网络管理】>【网卡设置】，点击网卡名称。

步骤2 在弹出的界面中，设置接入模式为监控模式，方向为接外，点击确定后生效。

步骤3 点击网络管理LAN/WAN，选择WAN线路，点击添加-单个添加。

步骤4 创建WAN线路，红色方框框住的为必填项。

1.    按照需求填写用户名

2.    线路类型选择为静态IPv4

3.    选择网卡

4.    填写IP，可以登录阿里云后台，使用ifconfig命令查看

5.    选择正常网关

6.    填写网关地址，可以登录阿里云后台，使用netstat -rn命令查看

7.    填写克隆mac地址，登录阿里云后台，使用ifconfig命令查看

8.    上述操作完成后，点击确定保存

步骤5 等待一会后，状态为√，说明WAN线路已经创建好了

结果验证

点击右上方的小闪电标识，进行ping检测，如果能ping通，就可以正常使用了

5.4.5. SD-WAN（iWAN）配置

步骤1 iWAN地址池创建。

1.   选择【对象管理】>【账号管理】>【组织架构】中，点击添加，选择上级节点，名称和地址范围，点击确认保存。

2.   再点击【本地账号】，选择刚才创建的用户组，设置账号名和密码，添加开通日期和截至日期，点击确定。

步骤2 创建iWAN服务器。

1.   选择【虚拟专网】>【iWAN服务】>【服务列表】，点击添加，填写服务器名称、服务网关名称，设置MTU修改为1420，地址池选择上个步骤中创建好地址池，点击确定保存。

2.   选择【服务映射】,选择映射线路为步骤1中创建的wan线路，填写映射端口，选择服务列表中的添加好的服务，点击添加；

到这里，iWAN服务端就创建完毕了。

步骤4 添加默认路由。单击【网络管理】>【路由策略】，添加一条策略，填写策略序号，执行动作为NAT，选择NAT线路。

步骤5 云服务器端口放行，之前已经放通了TCP和UDP所有的端口。

结果验证：iwan客户端拨号验证

1.   在【虚拟专网】>【iWAN客户端】，点击添加，输入名称，选择一个承载的WAN线路。

2.   填写iWAN参数：服务器IP/域名，需要填写服务端的iWAN承载线路的IP，这里为云服务器公网的IP，服务器端口填写服务端上服务映射中设置好的映射端口。

3.   填写iWAN的账号密码。

4.   展开高级，修改MTU和服务端一致，为1420。

5.   完成上述设置后，点击确定保存，iWAN客户端就创建完成了。

6.   成功连接界面如下，可以在客户端上查看流入流出速率、连接数、连接时间。

7.   在云端iWAN服务端也可以查看到在线的iWAN客户端详情。

5.5.  配置命令

序号	命名	说明
1	ifconfig	查看网卡及
2	netstat -rn	查看路由表
3	rz	上传文件
4	tar -zxf	解压文件
5	/usr/panabit/bin/ipectrl start	开启panabit进程
6	/usr/panabit/bin/ipectrl stop	结束pananbit进程

5.6. FAQ
5.6.1.初次登陆报错的解决方法

Q：初次登录，可能会报下面的错误，如何解决？

A：可以根据下面链接中的指导文档进行操作：

云助手版本过低。

https://help.aliyun.com/zh/ecs/user-guide/upgrade-or-disable-upgrades-for-the-cloud-assistant-agent

   

登录失败，操作系统禁用了密码登录方式 。

https://help.aliyun.com/zh/ecs/user-guide/use-the-password-can-t-login-the-linux-cloud-server-ecs-what-should-i-do

5.6.2.重启之后连不上SSH的方法

Q：重启之后，有概率出现workBench、SSH连接不上的情况，如何解决？

A：

如果是安全组白名单问题，可以查看下面的链接。

https://developer.aliyun.com/article/1269757?spm=5176.26934562.main.6.6eb847cd7fO1K5

如果是SSH服务没起来，可以查看下面链接进行设置。

https://help.aliyun.com/zh/ecs/user-guide/linux-system-can-not-connect-with-ssh-remote-instances-of-ecs#/