|
一、版本信息 | 核心代号 | | | | | | | | | | | 1、Portal认证支持CHAP 2、自定义IP地理位置库 3、iWAN服务端分配IPv6地址 4、IP群组流量监控 5、QUIC增强识别 6、增加FPGA网卡驱动 | | 1、TLS处理优化 2、共享限速区分IPv4和IPv6 3、本地账号扩容 4、PPPOE代拨错误日志 5、iWAN服务IP分配 6、MAC认证 7、日志发送 a)增加WAN线路流量日志; b)IP流量日志增加用户名字段; c)日志发送支持例外IP群组; 8、CGNAT动态分配 9、Radius用户名分割 10、NAT优化 11、DHCP服务 12、WEB认证指定认证IP | | | | 1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题 | | | 1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题 | | | 1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题 | | 1、解决全局连接参数如果为0,不会写入配置文件的问题; | | | 1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题 2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题 3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题 4、解决DHCPv6 WAN心跳服务地址无法保存的问题 5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题 | | | | 1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题 2、解决NAT可能偶发崩溃的问题 | | | | | 1、解决搜索dynip类型成员时,无法查询到的问题 | | | | | 1、优化流量控制策略组拖动 2、优化分页搜索 3、优化流量统计页面 4、菜单页面调整 | | |
二、新增功能 2.1. PORTAL认证支持CHAP CHAP(ChallengeHandshake Authentication Protocol,挑战握手认证协议)应用在Portal认证时,完整数据交互过程如下图所示,相对于PAP增加challenge的请求和响应,并且在radius流程中,密码的校验与challenge有关,不再和密钥相关联,已达到用户密码加密,防止重放攻击等安全性提升目的。 【说明:Panabit作为BAS,无需配置,自动适配PAP和CHAP。】
2.2. 自定义IP地理位置
1、IP地理位置信息 如下图所示,Panabit支持在会话信息中查看用户访问的目标IP对应的地理位置和运营商信息,方便排查是否有跨运营商访问的情况。 配置方法: ① IP地址位置库获取 ②导入 【对象管理】>【IP地理位置】>【系统库】选择下载文件导入。
2、自定义IP地理位置 在典型如数据中心场景下,自用服务器选用IP地址可能出现与默认库中的IP冲突的情况,因此,增加自定义IP地理位置功能用于自定义IP地理位置。
配置方法: ①添加 【对象管理】>【IP地理位置】>【自定义】>【添加】。 ②导入 【对象管理】>【IP地理位置】>【自定义】>【导入】。 导入文件内容格式要求:IP地址,位置描述 【说明:位置描述为中文时,需使用GB2312编码格式】
2.3. iWAN服务端分配IPv6地址 通常在进行IPv6网络建设中,当用户端需要使用IPv6时,从用户端到出口网关用户流量经过的所有中间设备都要进行IPv6支持的设备改造,带来高昂的升级改造成本。 鉴于Panabit自研高速SD-WAN隧道的高带宽、高稳定性、快速连接、多样化终端接入方式等特点,于用户客户端电脑部署使用【Panabit iWAN客户端】软件,通过iWAN隧道连接到出口位置的Panabit网关,即实现不改变内网设备的基础上实现内网IPv6改造,充分利旧,大幅降低IPv6升级改造的成本。 【说明:当前仅Windows iWAN客户端支持对IPv6分配地址的获取和使用】
配置方法: 在【虚拟专网】>>【iWAN服务】>>【服务列表】中添加/修改iWAN服务。新增IPv6选项开关,开启后即可为Windows客户端分配IPv6地址和DNS。 Windows客户端下载地址:https://download.panabit.com:9443/ecool.php Windows客户端配置方式:打开Windows客户端,点击【设置】>【IPv6设置】,勾选【仅路由IPv6】。【IPv6地址】、【IPv6网关】、【IPv6DNS】不填写则使用iWAN服务端自动分配的地址。
2.4.IP群组流量监控 典型如多分支互联场景中,当需要统计和监控各分支的流量和应用使用情况时,在过往版本中使用【虚拟链路】功能来完成。虚拟链路可以使用IP和网卡接口作为条件定义一条虚拟链路,从而实现流量统计和监控。但是只能最大支持4条的虚拟链路,在分支较多的场景下无法满足使用。 因此,新增IP群组链路功能。该功能以IP群组和接口为条件定义链路,完成流量统计。每条链路跟随一组IP群组,最大可支持IP群组的最大个数,是虚拟链路的PLus版本。为兼容之前使用虚拟链路的用户,虚拟链路继续保留。
配置方法: 在【系统概况】>>【虚拟链路】>>【IP群组链路】>>【添加】根据IP群组和网卡为条件作为
点击  按钮,可以查看该IP群组下的实时应用流量
点击应用名称,可以查看应用下的内网用户IP
2.5. QUIC增强识别 QUIC(Quick UDPInternet Connections,快速UDP互联网连接),由谷歌在2013年提出的一种基于UDP的全新低延时互联网传输协议。该协议常用于HTTP Over QUIC、游戏、流媒体和VOIP服务等,已成为Google服务网络通信的默认协议。 QUIC基于UDP协议,通过减少TCP三次握手、TLS握手,改进拥塞控制,避免对头阻塞的多路复用,前向冗余纠错等技术,实现大大减少连接建立期间的开销。
QUIC默认使用TLS1.3作为全链路安全,本次更新对QUIC流量进行了解密,可以将QUIC中的域名信息识别出来,关联到对应的会话,并且能实现域名路由。
配置方法: 【应用识别】>【引擎参数】>【QUIC解密】设置为【开启】即可。
2.6. 增加FPGA智能网卡驱动 增加对Panabit 16千M口(8光+8电)智能网卡支持。相比传统的网卡,智能网卡具备更高的性能和端口密度。
三、功能优化 3.1. TLS处理优化 当前一些浏览器(如:Chrome等)新版本使用了TLS新的特性,在访问TLS资源时,增加了Key share参数,该参数通常比较大(典型的通常超过1000字节),由此,导致SNI(Server Name Indication,服务器名称指示)出现在第二个报文。这个变化会影响各个模块对TLS处理的预期效果。识别在TANG R6 的版本已经解决。在这个版本中对以下相关模块功能进行优化。 | 模块 | | | | | 实现SNI跨数据包后的HTTPS重定向(需搭配WEB认证2.0APP) |
3.2.共享限速 应用背景 对于同时拥有IPv4和IPv6出口的用户,在过往的版本中,共享限速功能将用户账号对应的IP全部用于统一计算。在IPv4和IPv6的出口带宽独立的场景下,为精细化管理,提高带宽利用率和用户体验,共享限速功能支持对内网用户同一账户下针对IPv4/IPv6进行区分限速。 配置方法: 【对象管理】>【账号管理】>【用户组】修改或添加用户组 增加V4 账号带宽限制和V6账号带宽限制,当V6账号带宽限制值是0时,V4和V6的用户共享1个限速。当V6账号带宽限制值不等于0时,V4和V6用户分别共享对应的限速值。 应用白名单配置方法 | 配置命令 | | floweye rateobj config bypass_app=null|appname, | |
3.3.本地账号扩容 过往版本中,Panabit支持的本地账号最大为10K,在一些大型企业使用场景中,由于巨大的用户账户数,因此,在Panabit配置文件【/etc/PG.conf】中增加【ACCT_POOLSZ】参数,用于指定本地账号最大可支持的数量。 | 参数 | | | number为10进制数值,最大本地账号数量,默认为10240 |
【注意: /etc/PG.conf为PanaOS系统配置文件,修订后需重启PanaOS生效。】
3.4. PPPoE代拨错误日志 在PPPoE代拨场景中,用户账号在拨号过程中时常会出现意外拨不上的情况,因此,增加拨号错误的日志,便于运维人员可以通过相关日志定位问题。 | 配置命令 | | floweye ippxy config debug=1 | | | |
3.5. iWAN服务IP分配 在做SD-WAN组网时,通常会给账号绑定一个固定IP,方便服务端和客户端直接写路由策略。 当同个账号多次拨入时,IP分配的优化为,第一个拨入的会分配绑定的IP,后拨入的会从地址池里分配IP,如果地址池没有可分配的IP,则拨入失败。
3.6. MAC认证 为了避免某个IP反复进行MAC认证,对MAC认证进行如下优化: 1)去掉TTL参数,由retry(认证次数)和interval(认证间隔)控制认证时间和周期, 2)在用户管理模块增加remacauth参数来控制MAC免认证强制下线后,是否再发起MAC免认证; 3)为了避免在跨三层环境下做MAC认证时出现过多的无效的认证,IP上线10S后开始MAC认证请求; | 配置命令 | | floweye macauth config retry=n interval=m | | floweye ipobj config remacauth=0|1, | 1表示MAC认证强制下线后,再次发起免认证,默认值为0 |
3.7. 日志发送 Panabit发送给PanaLog日志优化如下: ① 增加WAN线路流量日志 ② IP流量日志增加用户名字段 ③ 日志发送黑名单 出于安全考虑,不希望某些终端上网日志被记录,需要在发送日志的时候排除一些IP时使用如下命令。 | 配置命令 | | floweye logger config blackip=N | N为IP群组ID,0表示取消黑名单。除了流量日志,其它日志都不记录 |
④优化cgnat日志,将其与会话日志格式保持一致
3.8. CGNAT动态分配 CGNAT(Carrier-GradeNAT,运营商级NAT),是一种网络地址转换(NAT)技术,通常由互联网服务提供商(ISP)在其网络中实施。 在CGNAT设备上,会对数据包的源IP地址和端口进行修改,将其转换为一个公共IP地址和端口,然后将数据包转发到互联网上。并且每个私有IP地址的数据包都使用不同的源端口号来区分。 之前版本的动态CGNAT只能配置1个服务,这样无法适应多条WAN上做CGNAT的场景。因此更新了CGNAT,支持多个服务,每条策略路由可以匹配不同的CGNAT服务,以适应多WAN口场景下的CGNAT。 配置方法: 【网络配置】>【路由/NAT】>【CGNAT】动态分配中可配置4个CGNAT对象,配置好NAT地址和端口后,在策略路由里调用对应的CGNAT对象。
3.9. Radius用户名分割 某些radius服务器推送的用户认证报文中,用户名信息带有“\”符号,通常用于表示是将域信息和用户名分隔开。因此在遇到用户名带有“\”时,将“\”前面部分剥离掉。
3.10. NAT优化 对NAT模块做了全面优化,大幅度提升NAT会话新建性能。同时针对UDP协议的分流做了大的改进。对于非首包识别的UDP会话,也能在后续报文中识别成功后正常分流。 配置方法: 【应用识别】>【引擎参数】>【UDP增强代理】设置为【开启】
3.11. DHCP服务 DHCP服务新增QinQ条件匹配,VLAN条件可设置N个VLAN条件满足QinQ条件时,才会响应DHCP服务发现报文。 配置方法: 【网络管理】>>【DHCP服务】>【服务列表】,选择需要开启DHCP服务的lan线路,配置VLAN,格式为外层VLAN/内层VLAN,内外层vlan用/分割,最多支持200组vlan配置。 当使用另一台PA来获取地址时,需正确配置内外层VLAN。
3.12. WEB认证 增加认证IP功能,即只对群组内的IP做认证。认证IP和免认证IP组合情况下,是否需要认证如下表所示,其中,【√】表示命中IP群组,【×】表示未命中IP群组,【-】表示未启用。
四、界面优化 4.1. 优化策略组拖动 为了避免在【行为管理】>【流量控制】>【策略组】直接进行排序拖动时,达不到预期效果。优化拖动规则如下: ① 策略组从下往上拖动,被拖动的策略组停留在拖动后的位置,建议用这个方式进行策略组的拖动; ② 策略组从上往下拖动,拖动到所有策略组最底部,被拖动的策略组停留在最底部; ③ 策略组从上往下拖动,拖动到策略组中间任何位置,被拖动的策略组停留在拖动后的前一个位置;
4.2. 优化分页页面查询 在分页显示的页面中,在任何分页页面查询,都能显示出查询内容。
4.3. 优化流量统计页面 流量统计用户排名自动刷新间隔太短,无法进行排名查看,提供刷新控制选项,并且流量统计流量趋势图增加最大流量、最小流量、平均流量。
4.4. 菜单页面调整
去除【网络设置】>【CGNAT】菜单,合并至【网络设置】>【路由/NAT】
去除【网络设置】>【DHCP中继】菜单,合并至【网络设置】>【DHCP服务】 新增【虚拟专网】>【iWAN用户】菜单;
五、BUG修复 | 一级分类 | | | | | | | 1、解决在线用户进入IP档案--连接信息页面,点击策略路由的序号,跳转的界面无任何信息的问题 | | | | 1、解决iWAN服务端采用免认证,客户端拨入引发异常的问题 | | | | 1、解决编辑流量控制策略时,编辑“外网地址”显示的是编辑“内网地址”的问题 | | | 1、解决全局连接参数如果为0,不会写入配置文件的问题; | | | | 1、解决网桥网关混合模式部署时,网桥下用户无法自动获取IP的问题 2、解决WAN线路接口档案中TOP应用不能正确显示自定义协议名称的问题 3、解决DHCP WAN线路配满时,偶数线路无法获取IP地址的问题 4、解决DHCPv6 WAN心跳服务地址无法保存的问题 5、解决批量编辑修改线路参数提交后,没有显示修改数量条数的问题
6、解决IPSEC客户端与H3C对接失败的问题 | | | | | | 1、解决IPv6 NAT配置SNAT地址之后,可能引起崩溃的问题 2、解决NAT可能偶发崩溃的问题 | | | | | | | 1、解决搜索dynip类型成员时,无法查询到的问题 | | | | |
六、应用识别
6.1.新增应用
6.2.更新应用
七、下载地址:
标准版:
FreeBSD:
PanabitFREE_TANGr6p1_20240628_FreeBSD9.tar.gz
(4.42 MB, 下载次数: 157)
Linux:
PanabitFREE_TANGr6p1_20240628_Linux3.tar.gz
(4.81 MB, 下载次数: 137)
网吧版:
FreeBSD:
PanabitWB_TANGr6p1_20240628_FreeBSD9.tar.gz
(4.57 MB, 下载次数: 74)
Linux:
PanabitWB_TANGr6p1_20240628_Linux3.tar.gz
(5.05 MB, 下载次数: 72)
ARM:
PanabitWB_TANGr6p1_20240628_arm64.tar.gz
(4.85 MB, 下载次数: 56)
SMB版:
FreeBSD:
PanabitSMB_TANGr6p1_20240628_FreeBSD9.tar.gz
(4.54 MB, 下载次数: 53)
Linux:
PanabitSMB_TANGr6p1_20240628_Linux3.tar.gz
(4.95 MB, 下载次数: 52)
专业版:
FreeBSD:
PanabitOEM_TANGr6p1_20240628_FreeBSD9.tar.gz
(4.66 MB, 下载次数: 175)
Linux:
PanabitOEM_TANGr6p1_20240628_Linux3.tar.gz
(5.37 MB, 下载次数: 141)
ARM:
PanabitOEM_TANGr6p1_20240628_arm64.tar.gz
(4.87 MB, 下载次数: 101)
流媒体版:
Linux:
PanabitMGW_TANGr6p1_20240628_Linux3.tar.gz
(5.05 MB, 下载次数: 48)
ARM:
PanabitMGW_TANGr6p1_20240628_arm64.tar.gz
(4.91 MB, 下载次数: 50)
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 2024-6-25 13:45:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2024-6-27 23:39:08
