Panabit核心代号“唐r6p4”版本发布

cqh123 · 发表于 2024-11-6 16:41:17

一.新增功能

1.1 域名路由

在多出口链路场景，实现访问特定域名走特定出口。其原理是跟踪DNS报文，获取指定域名的解析结果后，自动建立域名域IP的映射表，从而实现对域名的路由或NAT。

配置方法

以访问www.baidu.com分流到指定线路为例。

1.添加【域名群组】

【对象管理】>>【域名群组】>>【添加】域名群组和域名

2.配置【域名跟踪】

【网络设置】>>【DNS管控】>>【域名跟踪】>>【添加】，指定特定域名群组以及解析线路

参数说明如下：

【策略ID】：范围为1-65535
【访问域名】：选择需要分流的域名群组
【域名解析线路】：选择线路进行DNS解析，避免跨运营商访问，需要和策略路由中分流一致
【备份线路】：选择备份DNS解析线路，避免跨运营商访问，策略路由中需要添加备用分流策略
【DNS服务器】：配置指定DNS服务器解析，为空则使用线路DNS
【跟踪HOST】：开启会追踪host信息，将IP记录到节点中
【DNS缓存应答TTL】：如果该选项不为0，当收到的DNS请求域名在活跃域名中，Panabit会直接应答DNS请求报文，应答DNS报文中answersTTL为配置的值+120，为0不使用DNS缓存功能

3.添加策略路由

【网络设置】>>【路由/NAT】>>【IPv4】>>【添加】，目的地址选择特定域名群组，分流至域名路由线路出口

当访问域名群组域名时，连接信息可以看到已经分流至域名群组线路

4.状态监控

【网络设置】>>【DNS管控】>>【域名跟踪】>>点击

查看【域名信息】

【活跃域名】页面记录当前跟踪到的域名信息及IP个数。

【活跃IP】页面，查看当前最近访问IP和域名的时间。

1.2 LAN/WAN路由跟踪

路由跟踪用于确定到达目标IP所经过的路径，是网络运维中常用的手段。其原理是利用 IP生存时间（TTL字段）和ICMP错误消息来确定从一个主机到网络上其他主机的路由器。程序先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将TTL递增 1，直到目标响应或 TTL 达到最大值，从而确定路由路径。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。如果某些路由器不经询问直接丢弃 TTL 过期的数据包，那么在结果中则看不到此路径。

1.3 奇安信威胁情报

奇安信威胁情报是一款专业的商业威胁情报服务，更新到“唐 r6p4”版本后，用户可自行选择使用免费威胁情报和商业威胁情报。同时“唐 r6p4”版本还更新情报库算法，增加了对百万级情报条目数的支持。

1.导入授权

【系统维护】>>【系统升级】>>【模块授权】>>导入威胁情报授权

2.同步情报库

【威胁情报】>>【情报概况】>>开启自动同步

3.启用情报

【威胁情报】>>【情报分类】>>情报源选择“奇安信商业情报”

可开启对情报的【监控】、【阻断】、【记录日志】

1.4 静态NAT44（一对一NAT）

静态NAT44又称为“一对一NAT”，是指将指定的局域网内IP映射为指定公网IP，对应主机访问Internet时有自己的公网IP，同时Internet上的主机也可以通过对应的公网IP地址访问到被映射的局域网内的主机。

配置方法

【网络设置】>>【路由/NAT】>>【静态NAT44】>>【添加】

参数说明如下：

【ID】：NAT44策略执行先后顺序，ID越小越优先。
【外网线路】：选择NAT出网的WAN线路。
【外网IP】：如果填0.0.0.0则直接使用外网线路的IP进行NAT，如果不为0，则使用所填的IP进行NAT。
【内网IP】：填需要做静态NAT44的内网IP地址。
【下一跳】：如果内网IP经过了三层交换机路由转发才到Panabit，则填三层交换机与LAN口互联的IP。

静态NAT44的优先级高于策略路由。

二.功能优化

2.1 DNS跟踪

DNS跟踪模块用于跟踪DNS报文，从DNS报文中获取域名和IP的对应关系，实现基于域名的应用识别和自定义协议中的域名识别。在以往的版本中，该模块会对所有DNS报文进行跟踪，获取域名和IP对应关系，当只希望跟踪指定DNS服务器报文时，无法实现。

优化DNS跟踪模块，支持配置跟踪指定目标IP的DNS报文，最多支持6个DNS。使用如下命令：

配置命令	说明
floweye dnsack config dnslist=x.x.x.x,y.y.y.y,n.n.n.n	dnslist默认为空，表示跟踪所有的DNS报文，dnslist不为空时，只跟踪dnslist中的DNS报文，最多可以配置6个目标IP用英文逗号隔开。
floweye dnsack config dnslist=NULL	清空dnslist
Floweye dnsack stat	查看当前配置

2.2 DNS管控牵引策略

当DNS报文经过DNS管控模块的动作为“牵引”的策略时，DNS的源地址会转换为“牵引”策略的线路地址转发出去，但是在有些场景中，牵引后的DNS服务器有溯源要求，需要DNS服务器收到的DNS请求报文源地址是原始用户的IP地址，因此，需要DNS牵引后不改变源地址。在DNS管控策略中新增不改变源地址功选项。

配置方法

【网络配置】>>【DNS管控】>>【策略管理】>>【编辑/添加策略】可以勾选【不改变源地址】选项。

注意：如果启用不改变源地址，就要保证DNS服务器应答的报文也要经过Panabit。

2.3 PPPOE代拨失败日志

在代拨场景中，为了快速便捷地跟踪用户代拨失败的原因，新版本支持将代拨失败日志发送到Panalog。

配方方法

【系统维护】>>【日志对接】>>【其它事件】>>开启【其它事件日志】

2.4 域名负载支持PPPOE线路

在配置域名负载策略时，可以选择PPPOE线路作为负载线路。

2.5 Portal传递radius认证失败消息

在Portal认证场景中，Radius流程认证失败后，会在认证拒绝报文中携带reply-message信息，表示认证失败的原因。在和其它AAA厂家对接时，希望将radius认证失败原因传递给Portal服务器。

优化CMCC Portal模块，将Radius认证拒绝（access-reject报文），中携带的reply-message信息通过CMCC Portal协议的ACK_AUTH报文传递给Portal服务器。报文发送示例如下：

2.6 DM踢线支持单独使用账号信息踢线

Radius协议中的Disconnect-Request表示下线请求，通常是AAA发给bras，通知bras将用户下线。需要下线的用户信息会放在Attribute Value Pairs里，比如IP，session id等等。

在过往版本中，如果Disconnect-Request报文的Attribute Value Pairs里只携带用户名，Panabit不处理下线请求。因此，优化为当Attribute Value Pairs只有用户名时，Panabit会将此用户名下所有的IP都下线。

2.7 DHCP Server

在过往版本中DHCP Server最大并发是20K，当需要更大规模的DHCP服务时无法满足，因此，优化DHCP Server模块，默认用户数为20K，通过修改/etc/PG.conf文件里扩大单台Panabit的DHCP用户数。

配置方法

通过Console或者SSH登录后台，编辑/etc/PG.conf文件，增加DHCPCLNT_POOLSZ=N，N最大没有限制，重启后生效。

2.8 ARP代理

ARP代理的原理是代替规则列表里的IP地址应答ARP请求，同时根据IP MAC列表进行数据转发。但是当发起方访问目标IP命中ARP代理规则后，如果没有目标IP的MAC信息，那么就无法转发数据了。

在唐R4P6版本做出了优化，当发起方访问目标IP命中ARP代理规则中的IP后，ARP代理如果模块没有目标IP的MAC信息，会主动发起ARP请求，获取目标IP的MAC信息。

2.9 DHCP跟踪

DHCP跟踪用来跟踪DHCP报文，获取IP和MAC的对应关系，通常配合无感知认证一块使用。

当开启了无感知认证的MAC记忆时，用户认证成功后，IP和MAC会记录在MAC记忆列表中，当终端的IP变化了，MAC没有变化，就能通过MAC记忆列表上线，无需重新输入账号密码上线。

但是在一些场景中，内网终端的IP变化频繁，且内网DHCP服务器地址回收较快，就会导致终端A更换了IP后，终端A之前使用的IP会分给终端B，由于之前的IP在Panbait上还没老化，终端B直接继承了终端A的认证状态。导致账号审计不准确的问题。

配置命令	说明
floweye dhcpsnif4 config wamac_sync=0\|1	默认为0，当wamac_sync为1时，会同步wamac模块中mac的认证状态。从数据包中获取到IP和MAC对应关系后开始比对MAC。当MAC在MAC记忆列表里时，将IP下线，再自动通过MAC记忆上线；当MAC不在MAC记忆列表里时，将IP下线，终端需要重新认证。

注意：这个参数只针对dhcpsnif4配合MAC记忆无感知认证的场景，所以在其它场景里不要开启该参数。

2.10 iWAN服务

当本地账号绑定IP后，如果账号已经在线，同账号再次接入时，会从地址池里分配一个其它IP给该账号。但是在iWAN客户端承载线路是PPPOE线路时，PPPOE线路重拨后，iWAN客户端也会重拨，此时iWAN服务端重拨前的信息还没有老化，这样就会导致iWAN客户端没有获取到预期IP，导致网络问题。

优化iWAN服务模块，增加refusenew参数，refusenew默认为0，当同个账号多次拨入服务端时，如果账号绑定了IP，分配同样的IP给客户端，让客户端可以正常上线。如果refusenew为1，账号绑定的IP被占用时，拒绝该客户端的连接请求。

配置命令	说明
floweye sdwsvr config refusenew=0\|1	默认为0，当refusenew为1，账号绑定的IP被占用时，拒绝该客户端的连接请求。

三.界面优化

3.1 在线用户页面优化

【在线用户】>>【WEB认证】新增认证方式筛选

3.2 无线AC新增上传AP固件到本地升级

随着无线技术的发展，AP支持很多新功能，需要AP升级版本来实现，升级一台AP不会消耗很多时间和精力，但是如果需要升级几十台、上百台AP，那么批量升级就尤为重要了，不但可以提高效率，还可以避免升级出错。目前升级方式有云端升级和本地升级，因为云端批量升级有设备通网和出口带宽充足的条件限制，所以我们SAC新增无线AP本地批量升级功能。

使用方法

【无线AC】>>【AP管理】>>勾选要升级的AP，点击【升级固件】

开启本地升级服务，版本来源选择本地

上传对应AP固件升级包

点击【提交】开始升级

避免升级包占用磁盘空间，升级完成后，可在升级管理里删除升级包。

AP升级固件会导致AP重启，接入该AP的用户终端网络会断开，升级AP前应道告知客户相关人员，升级可能造成的业务影响，征询客户对升级的窗口期意见。

3.3 酒店专版

当设备导入酒店版授权时，页面会显示酒店专版。

注意：酒店专版不支持PPPOE接入服务、威胁情报、日志输出等功能。

四.BUG修复

一级分类	二级分类	模块	修复
系统概况	在线用户	IP对象	修复BSD版本中，IPv6在线IP的连接实际已经老化，但是连接还统计在在线用户里的问题。
网络管理	LAN/WAN	PPPOE线路	修复当PPPOE线路开启IPV6后，线路的物理接口断开再连接后，线路一直处于未激活状态的问题。
	策略路由	V4/V6转换	修复在WAN接口收到NS的时候，NS请求内容匹配到前缀，没有应答NA的问题。
	端口映射	端口映射	修复修改端口映射提交报错的问题。
	端口映射	V6 to V4映射	修复V6 to V4映射时产生泄露导致系统性能下降的问题。
	DNS管控		修复当DNS管控牵引策略的线路是WAN群组，并且群组里线路DNS为0.0.0.0时，DNS管控会执行牵引，将目标IP变成0.0.0.0的问题。
对象管理	账号管理	本地账号	修复批量添加时，自定义的身份证信息和电话的信息丢失的问题。
对象管理	Radius	Radius模块	修复当radius服务器发送踢线报文，通过Session Id和frame-ip-address字段将用户下线时，Panabit没有将该IP的代拨线路一并下线的问题。
系统维护	配置管理	配置同步	修复发送端配置同步得端口，会强制变成443，并且被同步端没有同步日志记录的问题
系统维护	配置管理	配置同步	修复配置同步，开启/关闭不生效的BUG

五.应用识别

5.1 新增应用

一级分类	二级分类	应用	备注
http协议	Web视频	豆瓣	社区类的网站
		梨视频	资讯类视频平台
		秒拍	短视频分享平台
		Realshort	国外的微短剧软件
		Lemon	国外类似小红书一样的视频社交软件
		Shortmax	国外的短剧平台
	云服务	其它云服务	糖豆广场舞平台使用了云服务技术，将这部分流量识别为“其它云服务”
常用协议	游戏加速	游帮帮加速	一款游戏加速软件
常用协议	软件更新	火绒	一款杀毒软件
网络游戏	腾讯游戏	三角洲行动	腾讯的射击游戏
	腾讯游戏	黑色沙漠	MMORPG 游戏
	对战平台	5E对战平台	CSGO游戏的一个对战平台
	对战平台	兰博电竞	电竞赛事平台
金融财经	股票交易	广发易淘金	广发证券下的股票查看行情交易软件
	股票交易	雪球	证券交易APP
	在线支付	Paypal	美国在线支付的app

5.2更新应用

一级分类	二级分类	应用	备注
http协议	Web视频	好看视频
		微信视频号
		快手
		优酷
	Web视频/直播秀	淘宝直播
		虎牙直播
		花椒
	Web视频/头条小视频	抖音	“汽水音乐”、“抖音下载”、“抖音”特征相似，合并到抖音特征里
	Web视频/头条小视频	西瓜视频
常用协议	软件更新	Windows补丁
	游戏维护	其它游戏更新
		网易更新
		暴雪补丁下载
	游戏加速	腾讯网游加速	“AK游戏加速”与“腾讯网游加速”特征一致合并为一个特征
		奇游加速
		赛博加速	“biubiu加速器”，“CC加速器”的特征与“赛博加速”一致合并为一个特征
		迅游
网络游戏	腾讯游戏	天堂
	Steam游戏	DOTA2/CSGO
	第九城市	奇迹世界
	其它游戏/对战平台	kk对战平台	“UP对战平台”改名“KK对战平台”
		豆客
		梦想世界
流媒体		RTMP	将“直播姬”的应用特征合并到RTMP
P2P下载		酷狗
社交	即时通讯/腾讯QQ	QQ视频聊天
	即时通讯/腾讯QQ	微信文件传输
	社交媒体	今日头条
金融财经	股票交易	富易集中交易
金融财经	股票交易	万得股票

六、下载地址

标准版：

FreeBSD:

PanabitFREE_TANGr6p4_20241104_FreeBSD9.tar.gz (4.49 MB, 下载次数: 33)

Linux:

PanabitFREE_TANGr6p4_20241104_Linux3.tar.gz (4.89 MB, 下载次数: 32)

网吧版：

FreeBSD:

PanabitWB_TANGr6p4_20241104_FreeBSD9.tar.gz (4.64 MB, 下载次数: 15)

Linux:

PanabitWB_TANGr6p4_20241104_Linux3.tar.gz (5.14 MB, 下载次数: 12)

ARM:

PanabitWB_TANGr6p4_20241104_arm64.tar.gz (4.9 MB, 下载次数: 8)

SMB版：

FreeBSD:

PanabitSMB_TANGr6p4_20241104_FreeBSD9.tar.gz (4.61 MB, 下载次数: 10)

Linux:

PanabitSMB_TANGr6p4_20241104_Linux3.tar.gz (5.03 MB, 下载次数: 8)

专业版：

FreeBSD:

PanabitOEM_TANGr6p4_20241104_FreeBSD9.tar.gz (4.74 MB, 下载次数: 33)

Linux:

PanabitOEM_TANGr6p4_20241104_Linux3.tar.gz (5.45 MB, 下载次数: 17)

ARM:

PanabitOEM_TANGr6p4_20241104_arm64.tar.gz (4.92 MB, 下载次数: 26)

流媒体版：

Linux:

PanabitMGW_TANGr6p4_20241104_Linux3.tar.gz (5.38 MB, 下载次数: 8)

ARM:

PanabitMGW_TANGr6p4_20241104_arm64.tar.gz (4.96 MB, 下载次数: 7)

		自动登录	找回密码
密码			注册