Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1313|回复: 4

Panabit核心代号“唐r6p1”版本发布

[复制链接]
发表于 2024-6-25 13:45:16 | 显示全部楼层 |阅读模式
一、版本信息
  
核心代号
  
唐r6p1
版本类型
正式版本
适用产品
Panabit
适用客户
通用
发布日期
2024年6月30日
新增功能
1、Portal认证支持CHAP
  
2、自定义IP地理位置库
  
3、iWAN服务端分配IPv6地址
  
4、IP群组流量监控
  
5、QUIC增强识别
  
6、增加FPGA网卡驱动
功能优化
1、TLS处理优化
  
2、共享限速区分IPv4和IPv6
  
3、本地账号扩容
  
4、PPPOE代拨错误日志
  
5、iWAN服务IP分配
  
6、MAC认证
  
7、日志发送
  
a)增加WAN线路流量日志;
  
b)IP流量日志增加用户名字段;
  
c)日志发送支持例外IP群组;
  
8、CGNAT动态分配
  
9、Radius用户名分割
  
10、NAT优化
  
11、DHCP服务
  
12、WEB认证指定认证IP
BUG修复
系统概况
在线用户
1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题
虚拟专网
iWAN服务
1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题
行为管理
流控策略
1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题
连接控制
1、解决全局连接参数如果为0,不会写入配置文件的问题;

  
网络管理
LAN/WAN
1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题
  
2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题
  
3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题
  
4、解决DHCPv6 WAN心跳服务地址无法保存的问题
  
5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题
策略路由
1、解决最大带宽条件对线路群组不生效的问题
路由/NAT
1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题
  
2、解决NAT可能偶发崩溃的问题
DHCP服务
1、解决静态分配配置异常的问题
对象管理
IP群组
1、解决搜索dynip类型成员时,无法查询到的问题
应用识别
自定义协议组
1、解决加载自定义协议失败的问题
界面优化
1、优化流量控制策略组拖动
  
2、优化分页搜索
  
3、优化流量统计页面
  
4、菜单页面调整
应用识别
详见章节6


二、新增功能
2.1. PORTAL认证支持CHAP
CHAP(ChallengeHandshake Authentication Protocol,挑战握手认证协议)应用在Portal认证时,完整数据交互过程如下图所示,相对于PAP增加challenge的请求和响应,并且在radius流程中,密码的校验与challenge有关,不再和密钥相关联,已达到用户密码加密,防止重放攻击等安全性提升目的。
image015.png
【说明:Panabit作为BAS,无需配置,自动适配PAP和CHAP。】

2.2. 自定义IP地理位置

1、IP地理位置信息
如下图所示,Panabit支持在会话信息中查看用户访问的目标IP对应的地理位置和运营商信息,方便排查是否有跨运营商访问的情况。
image019.jpg
配置方法:
① IP地址位置库获取
Panabit官方网站下载链https://download.panabit.com:9443/ecool.php中【Panabit周边】文件名为【IP日期.dat】
image021.jpg
②导入
【对象管理】>【IP地理位置】>【系统库】选择下载文件导入。
image023.jpg

2、自定义IP地理位置
在典型如数据中心场景下,自用服务器选用IP地址可能出现与默认库中的IP冲突的情况,因此,增加自定义IP地理位置功能用于自定义IP地理位置。

配置方法:
①添加
【对象管理】>【IP地理位置】>【自定义】>【添加】。
image025.jpg
image027.jpg
②导入
【对象管理】>【IP地理位置】>【自定义】>【导入】。
导入文件内容格式要求:IP地址,位置描述
image029.jpg
【说明:位置描述为中文时,需使用GB2312编码格式】

2.3. iWAN服务端分配IPv6地址
通常在进行IPv6网络建设中,当用户端需要使用IPv6时,从用户端到出口网关用户流量经过的所有中间设备都要进行IPv6支持的设备改造,带来高昂的升级改造成本。
鉴于Panabit自研高速SD-WAN隧道的高带宽、高稳定性、快速连接、多样化终端接入方式等特点,于用户客户端电脑部署使用【Panabit iWAN客户端】软件,通过iWAN隧道连接到出口位置的Panabit网关,即实现不改变内网设备的基础上实现内网IPv6改造,充分利旧,大幅降低IPv6升级改造的成本。
【说明:当前仅Windows iWAN客户端支持对IPv6分配地址的获取和使用】

配置方法:
在【虚拟专网】>>【iWAN服务】>>【服务列表】中添加/修改iWAN服务。新增IPv6选项开关,开启后即可为Windows客户端分配IPv6地址和DNS。
image033.jpg
Windows客户端下载地址:https://download.panabit.com:9443/ecool.php
Windows客户端配置方式:打开Windows客户端,点击【设置】>【IPv6设置】,勾选【仅路由IPv6】。【IPv6地址】、【IPv6网关】、【IPv6DNS】不填写则使用iWAN服务端自动分配的地址。
image035.jpg

2.4.IP群组流量监控
典型如多分支互联场景中,当需要统计和监控各分支的流量和应用使用情况时,在过往版本中使用【虚拟链路】功能来完成。虚拟链路可以使用IP和网卡接口作为条件定义一条虚拟链路,从而实现流量统计和监控。但是只能最大支持4条的虚拟链路,在分支较多的场景下无法满足使用。
因此,新增IP群组链路功能。该功能以IP群组和接口为条件定义链路,完成流量统计。每条链路跟随一组IP群组,最大可支持IP群组的最大个数,是虚拟链路的PLus版本。为兼容之前使用虚拟链路的用户,虚拟链路继续保留。

配置方法:
在【系统概况】>>【虚拟链路】>>【IP群组链路】>>【添加】根据IP群组和网卡为条件作为
image037.jpg

点击按钮,可以查看该IP群组下的实时应用流量
image041.jpg

点击应用名称,可以查看应用下的内网用户IP
image043.jpg

2.5. QUIC增强识别
QUIC(Quick UDPInternet Connections,快速UDP互联网连接),由谷歌在2013年提出的一种基于UDP的全新低延时互联网传输协议。该协议常用于HTTP Over QUIC、游戏、流媒体和VOIP服务等,已成为Google服务网络通信的默认协议。
QUIC基于UDP协议,通过减少TCP三次握手、TLS握手,改进拥塞控制,避免对头阻塞的多路复用,前向冗余纠错等技术,实现大大减少连接建立期间的开销。
image045.jpg

QUIC默认使用TLS1.3作为全链路安全,本次更新对QUIC流量进行了解密,可以将QUIC中的域名信息识别出来,关联到对应的会话,并且能实现域名路由。

配置方法:
【应用识别】>【引擎参数】>【QUIC解密】设置为【开启】即可。
image047.jpg

2.6. 增加FPGA智能网卡驱动
增加对Panabit 16千M口(8光+8电)智能网卡支持。相比传统的网卡,智能网卡具备更高的性能和端口密度。
image049.gif

三、功能优化
3.1. TLS处理优化
当前一些浏览器(如:Chrome等)新版本使用了TLS新的特性,在访问TLS资源时,增加了Key share参数,该参数通常比较大(典型的通常超过1000字节),由此,导致SNI(Server Name Indication,服务器名称指示)出现在第二个报文。这个变化会影响各个模块对TLS处理的预期效果。识别在TANG R6 的版本已经解决。在这个版本中对以下相关模块功能进行优化。
  
模块
  
优化说明
HTTP管控
实现SNI跨数据包后的阻断和TCP重置
WEB认证
实现SNI跨数据包后的HTTPS重定向(需搭配WEB认证2.0APP)

3.2.共享限速
应用背景
对于同时拥有IPv4和IPv6出口的用户,在过往的版本中,共享限速功能将用户账号对应的IP全部用于统一计算。在IPv4和IPv6的出口带宽独立的场景下,为精细化管理,提高带宽利用率和用户体验,共享限速功能支持对内网用户同一账户下针对IPv4/IPv6进行区分限速。
配置方法:
【对象管理】>【账号管理】>【用户组】修改或添加用户组
增加V4 账号带宽限制和V6账号带宽限制,当V6账号带宽限制值是0时,V4和V6的用户共享1个限速。当V6账号带宽限制值不等于0时,V4和V6用户分别共享对应的限速值。
image051.jpg
应用白名单配置方法
  
配置命令
  
说明
floweye rateobj config  bypass_app=null|appname,
appname为应用的英文名称,null为不配置


3.3.本地账号扩容
过往版本中,Panabit支持的本地账号最大为10K,在一些大型企业使用场景中,由于巨大的用户账户数,因此,在Panabit配置文件【/etc/PG.conf】中增加【ACCT_POOLSZ】参数,用于指定本地账号最大可支持的数量。
  
参数
  
说明
ACCT_POOLSZ=number
number为10进制数值,最大本地账号数量,默认为10240

【注意: /etc/PG.conf为PanaOS系统配置文件,修订后需重启PanaOS生效。】

3.4. PPPoE代拨错误日志
在PPPoE代拨场景中,用户账号在拨号过程中时常会出现意外拨不上的情况,因此,增加拨号错误的日志,便于运维人员可以通过相关日志定位问题。
  
配置命令
  
说明
floweye ippxy config debug=1
打开拨号错误日志。
floweye dmesg list
展示拨号错误日志


3.5. iWAN服务IP分配
在做SD-WAN组网时,通常会给账号绑定一个固定IP,方便服务端和客户端直接写路由策略。
当同个账号多次拨入时,IP分配的优化为,第一个拨入的会分配绑定的IP,后拨入的会从地址池里分配IP,如果地址池没有可分配的IP,则拨入失败。

3.6. MAC认证
为了避免某个IP反复进行MAC认证,对MAC认证进行如下优化:
1)去掉TTL参数,由retry(认证次数)和interval(认证间隔)控制认证时间和周期,
2)在用户管理模块增加remacauth参数来控制MAC免认证强制下线后,是否再发起MAC免认证;
3)为了避免在跨三层环境下做MAC认证时出现过多的无效的认证,IP上线10S后开始MAC认证请求;
  
配置命令
  
说明
floweye macauth config retry=n interval=m
配置认证次数和认证间隔时间,单位秒。
floweye ipobj config remacauth=0|1,
1表示MAC认证强制下线后,再次发起免认证,默认值为0


3.7. 日志发送
Panabit发送给PanaLog日志优化如下:
① 增加WAN线路流量日志
② IP流量日志增加用户名字段
③ 日志发送黑名单
出于安全考虑,不希望某些终端上网日志被记录,需要在发送日志的时候排除一些IP时使用如下命令。
  
配置命令
  
说明
floweye logger  config blackip=N
N为IP群组ID,0表示取消黑名单。除了流量日志,其它日志都不记录
④优化cgnat日志,将其与会话日志格式保持一致

3.8. CGNAT动态分配
CGNAT(Carrier-GradeNAT,运营商级NAT),是一种网络地址转换(NAT)技术,通常由互联网服务提供商(ISP)在其网络中实施。
在CGNAT设备上,会对数据包的源IP地址和端口进行修改,将其转换为一个公共IP地址和端口,然后将数据包转发到互联网上。并且每个私有IP地址的数据包都使用不同的源端口号来区分。
之前版本的动态CGNAT只能配置1个服务,这样无法适应多条WAN上做CGNAT的场景。因此更新了CGNAT,支持多个服务,每条策略路由可以匹配不同的CGNAT服务,以适应多WAN口场景下的CGNAT。
配置方法:
【网络配置】>【路由/NAT】>【CGNAT】动态分配中可配置4个CGNAT对象,配置好NAT地址和端口后,在策略路由里调用对应的CGNAT对象。
image053.png
image055.png

3.9. Radius用户名分割
某些radius服务器推送的用户认证报文中,用户名信息带有“\”符号,通常用于表示是将域信息和用户名分隔开。因此在遇到用户名带有“\”时,将“\”前面部分剥离掉。

3.10. NAT优化
对NAT模块做了全面优化,大幅度提升NAT会话新建性能。同时针对UDP协议的分流做了大的改进。对于非首包识别的UDP会话,也能在后续报文中识别成功后正常分流。
配置方法:
【应用识别】>【引擎参数】>【UDP增强代理】设置为【开启】
image057.png

3.11. DHCP服务
DHCP服务新增QinQ条件匹配,VLAN条件可设置N个VLAN条件满足QinQ条件时,才会响应DHCP服务发现报文。
配置方法:
【网络管理】>>【DHCP服务】>【服务列表】,选择需要开启DHCP服务的lan线路,配置VLAN,格式为外层VLAN/内层VLAN,内外层vlan用/分割,最多支持200组vlan配置。
image059.png
当使用另一台PA来获取地址时,需正确配置内外层VLAN。
image061.png

3.12. WEB认证
增加认证IP功能,即只对群组内的IP做认证。认证IP和免认证IP组合情况下,是否需要认证如下表所示,其中,【√】表示命中IP群组,【×】表示未命中IP群组,【-】表示未启用。





  
组合
  
会话
认证IP组
免认证IP组
结果
1
源IP
×
需认证
目标IP
×
2
源IP
×
需认证
目标IP
3
源IP
×
需认证
目标IP
×
×
4
源IP
放行
目标IP
×
5
源IP
放行
目标IP
6
源IP
放行
目标IP
×
×
7
源IP
×
×
需认证
目标IP
×
8
源IP
×
×
需认证
目标IP
9
源IP
×
×
需认证
目标IP
×
×
10
源IP
-
需认证
目标IP
-
11
源IP
×
-
放行
目标IP
×
-
12
源IP
-
需认证
目标IP
×
-
13
源IP
×
-
需认证
目标IP
-
14
源IP
-
放行
目标IP
-
15
源IP
-
×
需认证
目标IP
-
×
16
源IP
-
放行
目标IP
-
×
17
源IP
-
×
放行
目标IP
-
18
源IP
-
-
需认证
目标IP
-
-

四、界面优化
4.1. 优化策略组拖动
为了避免在【行为管理】>【流量控制】>【策略组】直接进行排序拖动时,达不到预期效果。优化拖动规则如下:
① 策略组从下往上拖动,被拖动的策略组停留在拖动后的位置,建议用这个方式进行策略组的拖动;
② 策略组从上往下拖动,拖动到所有策略组最底部,被拖动的策略组停留在最底部;
③ 策略组从上往下拖动,拖动到策略组中间任何位置,被拖动的策略组停留在拖动后的前一个位置;

4.2. 优化分页页面查询
在分页显示的页面中,在任何分页页面查询,都能显示出查询内容。
image063.png

4.3. 优化流量统计页面
流量统计用户排名自动刷新间隔太短,无法进行排名查看,提供刷新控制选项,并且流量统计流量趋势图增加最大流量、最小流量、平均流量。
image065.png
image067.png

4.4. 菜单页面调整

去除【网络设置】>【CGNAT】菜单,合并至【网络设置】>【路由/NAT】
image069.png

去除【网络设置】>【DHCP中继】菜单,合并至【网络设置】>【DHCP服务】
image071.png
新增【虚拟专网】>【iWAN用户】菜单;
image073.png

五、BUG修复
  
一级分类
  
二级分类
模块
修复
系统概况
在线用户
连接信息
1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题
虚拟专网
iWAN服务
iWAN服务
1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题
行为管理
流控策略
流量控制
1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题
连接控制
连接控制
1、解决全局连接参数如果为0,不会写入配置文件的问题;

  
网络管理
LAN/WAN
WAN
1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题
  
2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题
  
3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题
  
4、解决DHCPv6 WAN心跳服务地址无法保存的问题
  
5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题

6、解决IPSEC客户端与H3C对接失败的问题
策略路由
策略路由
1、解决最大带宽条件对线路群组不生效的问题
路由/NAT
NAT
1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题
  
2、解决NAT可能偶发崩溃的问题
DHCP服务
DHCP服务
1、解决静态分配配置异常的问题
对象管理
IP群组
IP群组
1、解决搜索dynip类型成员时,无法查询到的问题
应用识别
自定义协议组
自定义协议组
1、解决加载自定义协议失败的问题


六、应用识别

6.1.新增应用
  
一级分类
  
二级分类
三级分类
应用
http协议
Web视频
直播秀
来疯
Web视频
墨鱼丸
常用网站
常用网站
苹果
云服务
云服务
蓝奏云上传
百度云盘上传
移动云上传
腾讯微云上传
阿里云盘上传
夸克云盘上传
天翼云上传
123云盘
社交
即使通讯
移动社交/微信
微信登录
微信看一看
常用协议
终端控制
终端控制
Raylink
游戏维护
游戏维护
网易更新
网络安全
网络安全
Anyi
金融财经
网上银行
网上银行
交通银行
中国邮政银行
浦发银行
民生银行
光大银行

商业系统
商业系统
商业系统
天翼云会议
移动应用
应用下载
应用下载
中兴应用商店


6.2.更新应用
  
一级分类
  
二级分类
三级分类
应用
http协议
Web视频
优酷系列
优酷移动
直播秀
微信直播
网易CC
Web视频
微信视频号
快手
CCTV点播
带宽测速
带宽测速
Speedtest
云服务
云服务
百度云盘
移动云
常用协议
终端控制
终端控制
TODESK
远程桌面
游戏维护
游戏维护
Wegame下载
逍遥模拟器
MUMU模拟器
其它游戏更新
游戏加速
游戏加速
迅游
雷神加速
社交
即使通讯
移动社交/微信
微信文件传输
企业微信
企业微信文件
即使通讯
移动社交
钉钉文件传输
金融财经
在线支付
在线支付
支付宝
微信支付
商业系统
商业系统
商业系统
腾讯会议
小红书
亿联会议
Welink
网络游戏
腾讯游戏
英雄联盟
英雄联盟游戏
腾讯游戏
穿越火线
王者荣耀
盛大网络
盛大网络
传奇系列
Steam游戏
Steam游戏
绝地大逃杀
移动应用
应用下载
应用下载
苹果APP下载
Vivo应用商店

七、下载地址:

标准版:
FreeBSD: PanabitFREE_TANGr6p1_20240628_FreeBSD9.tar.gz (4.42 MB, 下载次数: 64)

Linux: PanabitFREE_TANGr6p1_20240628_Linux3.tar.gz (4.81 MB, 下载次数: 58)

网吧版:
FreeBSD: PanabitWB_TANGr6p1_20240628_FreeBSD9.tar.gz (4.57 MB, 下载次数: 21)

Linux: PanabitWB_TANGr6p1_20240628_Linux3.tar.gz (5.05 MB, 下载次数: 19)

ARM: PanabitWB_TANGr6p1_20240628_arm64.tar.gz (4.85 MB, 下载次数: 14)

SMB版:
FreeBSD: PanabitSMB_TANGr6p1_20240628_FreeBSD9.tar.gz (4.54 MB, 下载次数: 14)

Linux: PanabitSMB_TANGr6p1_20240628_Linux3.tar.gz (4.95 MB, 下载次数: 12)

专业版:
FreeBSD: PanabitOEM_TANGr6p1_20240628_FreeBSD9.tar.gz (4.66 MB, 下载次数: 78)

Linux: PanabitOEM_TANGr6p1_20240628_Linux3.tar.gz (5.37 MB, 下载次数: 45)

ARM: PanabitOEM_TANGr6p1_20240628_arm64.tar.gz (4.87 MB, 下载次数: 31)


流媒体版:
Linux: PanabitMGW_TANGr6p1_20240628_Linux3.tar.gz (5.05 MB, 下载次数: 12)

ARM: PanabitMGW_TANGr6p1_20240628_arm64.tar.gz (4.91 MB, 下载次数: 14)




发表于 2024-6-28 11:47:37 | 显示全部楼层

还没发布
发表于 2024-7-1 09:36:18 | 显示全部楼层

专业版已发布
发表于 2024-7-3 10:11:01 | 显示全部楼层
自动报表功能,无法创建模版
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-7-25 11:18 , Processed in 0.081928 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表