|
一、新增功能 1.1. IPv4策略路由支持策略组 1.1.1.功能概述 Panabit TANG r7p8在IPv4策略路由中新增策略组功能,通过引入分组机制,对原有扁平化策略结构进行重构。与流量控制模块类似,IPv4路由策略以“策略组 + 策略”的分层结构进行展示与管理。系统在策略匹配过程中,优先基于策略组进行筛选,再进入组内策略匹配,从而优化整体处理流程。 1.1.2.背景需求 随着业务规模扩大、网络复杂度提升,当策略路由数量较多时,旧版在实际部署中面临以下典型问题: • 策略数量庞大,管理复杂:当策略数量超过千条后,UI展示及运维成本显著上升,且大量策略存在相同匹配条件(如源地址、源接口等),缺乏结构化归类手段; • 动态策略插入困难:如SaaS下发的主动探测等模块,需要动态插入策略,但受限于策略ID顺序,难以灵活控制插入位置; •匹配效率下降:大量条件相似的策略逐条匹配,带来不必要的计算开销,影响整体转发性能。 1.1.3.新增功能介绍 1、策略分组化管理 IPv4策略路由从原来的“单列表平铺”,升级为“策略组 + 策略”的分层结构。 - 支持按业务或场景创建多个策略组;
- 每个策略组下独立管理对应策略;
- 策略组顺序可自由拖动;
- 多策略场景下,界面更加清晰,便于快速维护。
2、公共条件统一配置 策略组支持统一配置匹配条件,包括:VLAN、源接口(支持多选)、源地址/目标地址、生效时间等。这些条件只需在策略组层面配置一次,组内策略自动继承,大幅减少重复填写,提升配置效率。 3、匹配效率优化 通过策略组进行预筛选,减少无效策略遍历,降低CPU开销,提升大规模策略场景下的转发性能。
说明: - 多组策略可以同时生效,策略组从上往下匹配,策略组顺序可手动拖拽。
- 系统升级到TANGr7p8版本后,原有IPv4策略路由将自动归入默认策略组;默认策略组作为兜底组,位于所有自定义策略组之后参与匹配。
1.1.4.配置方法 1、添加策略组 进入【网络设置】>>【路由/NAT】>>【IPv4】>>【+添加策略组】,新增一个策略组并配置策略组相关参数:
2、添加策略 【网络设置】>>【路由/NAT】>>【IPv4】>>指定策略组>>【+添加策略】,在策略组中添加具体的路由策略:
说明: - 策略组匹配采用“先组后策略”的两级机制:仅当流量命中策略组的匹配条件后,才会继续匹配组内策略。
- 组内策略的匹配范围应为策略组条件的子集或相容范围,否则将无法命中该策略组,直接进入后续策略组匹配(例如,策略组限制源地址为192.168.1.0/24网段,组内策略配置源地址为192.168.2.0/24网段,该策略不会生效)。建议按“策略组定义范围、组内策略做细分”的方式进行配置。
3、 相关指令 | 名称 | | | | floweye rtgroup add id=[N] name=[策略组名称] src=[源IP/IP组] dst=[目标IP/IP组] srcif=[源接口] vlan[VLAN ID] month=[调度日期] startday=[开始天数] endday=[结束天数] start=[开始时间] end=[结束时间] disable=[0/1] | 其中,name为必填项,其余参数均为可选项; id为策略组的唯一标识,升级前原有的IPv4策略路由自动归入默认策略组,id为0,名称为default | | floweye rtgroup set id=[N] [其他参数] | | | floweye rtgroup set id=[N] | | | | |
二、功能优化 2.1. 策略匹配全面支持连续段QinQ 2.1.1 功能概述 Panabit TANG r7p8优化策略VLAN匹配条件,所有策略/策略组的VLAN匹配项全面支持“a-b/c-d”双层VLAN连续段格式,兼容现有单层、单条双层VLAN配置,实现大规模双层VLAN流量一键匹配。 2.1.2 场景与解决方案 旧版策略VLAN不支持连续段双层VLAN批量匹配,在运营商、园区、IDC等场景下,策略配置烦琐、条目过多且影响系统性能。 对此,Panabit TANG r7p8进行了以下优化: 1、全面支持双层VLAN连续段格式 所有策略/策略组VLAN支持“a-b/c-d”写法,一条规则匹配外层连续段+内层连续段全部组合,具体包含: - 【网络设置】>>【路由/NAT】>>IPv4路由策略/策略组与IPv6路由策略支持:
- 【网络设置】>>【DNS管控】>>DNS管控策略支持:
- 【行为管理】>>【流量控制】>>流量控制策略/策略组支持:
- 【行为管理】>>【连接控制】>>连接控制策略/策略组支持:
- 【行为管理】>>【HTTP管控】>>HTTP管控策略/策略组支持:
- 【安全防护】>>【攻击防护】>>攻击防护策略支持:
- 【安全防护】>>【安全策略】>>安全策略/策略组匹配支持:
2、完全向下兼容 原有单层、单条双层VLAN配置无需修改,平滑升级。大幅精简策略数量,简化运维,提升了匹配速度与系统稳定性。
2.1.3 配置方法 用户可根据自己需求在对应策略/策略组中灵活使用双层连续段VLAN。以IPv4路由策略为例,【网络设置】>>【路由/NAT】>>【IPv4】>>【添加策略组】中添加双层连续段VLAN: 【网络设置】>>【路由/NAT】>>【IPv4】>>指定策略组>>【+添加策略】中添加双层连续段VLAN: 说明: r7p8降级版本后“a-b/c-d”格式的双层连续段VLAN仍会在配置文件中保留,但是使用时低版本VLAN匹配仅为“a-b”,回升后能正常识别。
2.2. 通道限速优化 2.2.1 功能概述 Panabit TANG r7p8优化流量控制模块,对数据通道限速算法进行优化(优先级通道限速机制仍采用原有算法);显著降低高流量大通道场景性能损耗,提升限速准确度与稳定性。 2.2.2 场景与解决方案 旧版限速机制在大流量、大带宽通道场景下,存在CPU占用高、性能损耗明显、限速波动大、偶发流量超限等问题,影响设备转发效率与业务体验。 Panabit TANG r7p8对此进行了深度优化: 1、采用高性能令牌桶(Token Bucket)算法 新算法资源占用低、限速平滑、支持合理流量突发、高并发场景性能优异,完美适配大带宽高流量场景。 2、仅优化数据通道,优先级通道保持兼容 仅替换数据通道限速实现,优先级通道限速机制不变,现有配置无需修改即可平滑升级。 3、高流量场景性能损耗显著降低 经过测试:r7p8在开启数据通道限速时,性能损耗极小,与r7p7对比差异明显,设备可在满负载场景下保持高效稳定运行。 4、限速准确度与稳定性大幅提升 可长时间将通过速率精准限制在设定值,无流量超限现象,网卡实时流量趋势平稳近似直线,抖动极小。 2.3. 链路聚合支持Mode 3 2.3.1 功能概述 Panabit TANG r7p8优化链路聚合功能,正式支持Mode3(Broadcast)广播模式,可将多张物理网卡绑定为同一聚合组,实现所有成员网口同步发送相同数据,以高冗余特性保障关键业务传输不中断。 2.3.2 场景与解决方案 在双链路/多链路备份场景中,部分无线、微波、专网等链路存在不稳定、易中断等问题,旧版的常规链路聚合无法保证数据包在多条链路上同时传输,存在业务中断风险。 为提升链路可靠性,确保任意单条链路故障时业务仍可正常通信,Panabit TANGr7p8增加Mode3广播模式链路聚合能力: 1、发送端:数据包复制,多网口同步发送 Mode3广播模式在发送方向采用“一对多”机制。系统发送数据包时,会自动将报文复制多份,通过绑定的所有成员网口同时发出,确保数据包在多条链路上并行传输,提升送达成功率。 2、接收端:无差别侦听,不做去重处理 所有成员网口独立接收报文,无选择性过滤与去重机制,可从任意可用链路接收数据,最大限度保证数据包可被正常接收。 3、以效率换取极致冗余 Mode3广播模式通过重复发送与全量接收的方式,牺牲部分带宽利用率换取最高等级链路冗余,适用于对业务连续性要求极高、不允许通信中断的场景。
2.3.3 配置方法 【网络设置】>>【网卡设置】>>【网络接口】>>选择指定网卡进行链路捆绑到同一链路组中: WEB界面输入指令floweyesystem config lagalgo=mode3开启mode3模式: 说明: 1. mode3模式为全局使用,所有链路聚合都使用相同模式; 2. 从Panabit的管理口发出的数据包,不会在mode3聚合组的网卡上广播。
2.4. 深澜学术访问支持 2.4.1 功能概述 Panabit TANG r7p8优化跨境学术访问权限管理功能,通过与深澜的Radius系统对接,自动识别用户授权状态,将合法用户IP加入对应动态IP群组,实现合规、自动化的跨境学术访问控制。 2.4.2 场景与解决方案 Panabit TANG r7p7新增与城市热点对接跨境学术访问功能,但不支持将指定用户删除。TANG r7p8在此基础上,新增与深澜Radius系统对接功能,且对该类场景做了进一步优化。 在跨境学术访问场景下,Panabit对用户进行实名与权限校验,仅允许已授权用户使用指定跨境线路,实现权限自动管控: 1、可接收并解析深澜下发的Radius报文,自动获取用户跨境访问权限。 2、用户上线时,自动将其IP加入对应权限的动态IP群组;用户下线时,自动从群组中移除该IP。 3、根据权限自动归类用户,仅授权用户可通过跨境线路访问,满足合规与学术访问专用需求。 4、相关指令: | 名称 | | | | floweye radsnif config enable=1 |
|
2.5. 阻断日志留存增至4000条 2.5.1 功能概述 Panabit TANG r7p8优化设备本地阻断日志留存能力,默认保存最多4000条阻断记录,支持在无日志平台(如Panalog)场景下直接查看本地阻断日志信息,满足现场运维与合规核查需求。 2.5.2 场景与解决方案 过去设备阻断日志仅支持上传至日志平台,无法在网关本地查看。在无日志平台的项目部署场景中,运维人员无法查看与追溯阻断记录。 为解决现场日志查看问题,Panabit TANG r7p8对阻断日志优化如下: 1、在 Panabit本地增加阻断日志存储,阻断类型包括:1-流量阻断、2-URL阻断、3-DNS阻断、4-会话限制、5-带宽限制、6-其他。 2、默认本地留存4000条阻断日志;当日志数量超出上限时,系统自动删除最早记录,保留最新日志。 3、目前仅支持流量控制、HTTP 管控、DNS 管控、连接控制等模块的阻断日志统一本地存储与查看。 4、相关指令: | 名称 | | | | floweye logger config denylog_disable=1 | | | |
| | floweye logger stat | grep denylog_disable或 floweye denylog stat | grep denylog_disable | | | floweye bootenv set name=DENYLOG_POOLSZ val=XX | r7p8默认保留4000条 重启Panaos后生效 |
2.6. PPPoE DHCPv6支持PD分配 2.6.1 功能概述 Panabit TANG r7p8新增DHCPv6PD前缀代理(IAPD)分配功能,实现PPPoE客户端通过 DHCPv6报文向上级BRAS请求PD前缀,获取前缀后自动关联LAN口完成前缀委派,满足LAN侧设备IPv6地址分配场景需求。 2.6.2 场景与解决方案 r7p7及更早版本不支持PPPoE客户端发起DHCPv6 PD请求、不支持前缀委派,无法满足特定场景组网下的IPv6地址分配需求。 Panabit TANG r7p8对此做出优化: - Panabit作为PPPoE客户端,支持通过标准DHCPv6报文向BRAS发起PD前缀请求。
- 成功获取前缀后,自动将PD前缀关联至LAN口,实现前缀代理委派。
- LAN侧设备可正常从Panabit获取前缀,并向下游终端分配IPv6地址。
- 功能兼容现网BRAS策略,不影响原有IPv4业务与PPPoE拨号流程。
2.6.3 配置方法 在【宽带准入】>>【组织架构】>>【+添加用户组】时,填写委派IPv6地址段/前缀:
2.7. Radius模块QinQ顺序输出优化 2.7.1 功能概述 Panabit TANG r7p8对Radius模块进行优化,新增invlanfirst参数,用于控制双层VLAN 场景下,NAS信息输出时内外层VLAN的顺序,满足不同对接设备的格式适配需求。 2.7.2 场景与解决方案 在双层VLAN组网环境中,不同设备对Radius报文中内外层VLAN的输出顺序要求不同,原有固定格式无法灵活适配。 为解决该兼容性问题,Panabit TANG r7p8在Radius模块增加invlanfirst参数,支持灵活切换VLAN输出顺序。满足QinQ场景下,第三方设备、认证平台对VLAN字段顺序的差异化要求,提升组网兼容性。 | 命令参数 | | | floweye radius config invlanfirst=0 | vlanid=外层VLAN vlanid2=内层VLAN | | floweye radius config invlanfirst=1 | vlanid=内层VLAN vlanid2=外层VLAN |
|
2.8. 域名长度支持扩充到124位 2.8.1 功能概述 Panabit TANG r7p8优化域名长度限制,将单条域名最大支持长度由94位扩充至124位,适配更长格式域名的识别与管控需求,提升复杂域名场景下的规则匹配与追踪准确性。 2.8.2 场景与解决方案 旧版对域名长度限制为94位,超长域名易出现识别不全、规则不生效、追踪显示不完整等问题,影响HTTP与DNS层面的管控效果。 为解决长域名适配问题,Panabit TANG r7p8对域名长度优化如下: - 将域名最大支持长度由94位提升至124位。
- 该功能仅在DNS管控、HTTP管控、域名追踪等模块适用。
2.9. 优化MAC记忆限制最大在线人数 2.9.1 功能概述 Panabit TANG r7p8优化MAC记忆模块,支持对MAC上线终端进行在线数限制与超限统计,满足终端接入管控与状态核查需求,默认参数不改变原有运行逻辑。 2.9.2 场景与解决方案 旧版MAC记忆模块未提供终端在线数量限制能力,无法对Web认证中同一MAC下接入终端数量进行管控,也无对应超限统计手段。 为完善终端接入控制,Panabit TANG r7p8增加check_onlinecnt参数和panic_online_overflow计数器用于统计因超出在线终端限制而被处理的数据包数量,直观反映功能是否生效,且设备升级后不影响原有业务逻辑。 相关指令 | 名称 | | | | floweye wamac config check_onlinecnt=1 | | | |
|
2.10. MAC认证支持携带用户VLAN信息发起Radius认证 2.10.1 功能概述 Panabit TANG r7p8 优化MAC认证流程,在MAC认证发起Radius请求时,增加携带用户实际使用VLAN参数,实现与Web认证一致的VLAN属性上传,满足后端Radius服务器按VLAN进行权限控制、计费与审计的需求。
2.10.2 场景与解决方案 r7p7已支持Web认证在发起Radius认证时,携带用户使用VLAN;MAC认证流程未携带该VLAN参数,导致Radius服务器无法获取用户VLAN信息,影响策略匹配、计费与日志溯源。 Panabit TANG r7p8优化该流程: - 统一MAC认证与Web认证的Radius上报规范;
- MAC认证发起Radius请求时,自动携带用户实际使用的userqvlan字段;
- 字段来源与格式保持与ipobj中userqvlan一致,后端无需适配改造;
- 不影响原有MAC认证流程、响应速度与兼容性。
相关指令 | 名称 | | | | floweye macauth config useipvlan=1 | |
2.11. AX系列网卡驱动优化 2.11.1 功能概述 Panabit TANG r7p8对AX系列网卡驱动进行优化,增强网卡数据接收兼容性,使设备可正常接收并处理checksum异常的数据包,避免因报文校验和错误导致丢包、业务中断或流量统计异常问题。 2.11.2 场景与解决方案 旧版AX系列网卡在默认驱动策略下,会直接丢弃checksum校验异常的报文,导致部分特殊组网、终端或镜像流量场景出现流量丢失、业务不通、统计不完整、抓包与实际流量不一致等问题。 Panabit TANG r7p8对网卡驱动进行深度优化: - 优化AX系列网卡底层驱动逻辑,关闭对checksum异常报文的强制丢弃。
- 保留报文完整性,将checksum异常数据包正常上送协议栈处理。
- 不影响正常报文转发性能,兼容现有所有业务场景。
- 减少异常丢包、提升流量兼容性、保障业务稳定。且升级默认生效,无额外配置。
2.12. 入侵防御检测新增IPV6支持 2.12.1 功能概述 Panabit TANG r7p8 对入侵防御检测模块进行扩展,全面支持 IPv6 流量的入侵防御规则匹配、威胁检测与阻断,实现 IPv4/IPv6 双栈环境下统一的安全防护能力,覆盖攻击识别、异常流量检测、恶意行为拦截等核心防御场景。 2.12.2 场景与解决方案 旧版入侵防御仅支持 IPv4 流量,在IPv6 部署逐步增多的情况下,兼容现有 IPv4 入侵防御规则,新增 IPv6 专属攻击特征库,支持 IPv6 地址、IPv6 网段、IPv6 流的策略命中与日志记录,攻击告警、阻断日志。
三、界面优化 3.1. 增加系统用户名和密码特殊字符不支持提示 在【系统维护】>>【系统用户】>>【用户账号】>>【+添加】用户时,若用户名或密码填写不支持的符号会弹出提示:
3.2. 登录页面支持邮箱双因子登录 在【系统维护】>>【系统用户】>>【+添加】用户时,新增邮箱双因子登录方式,用户可根据需求开启: 开启后输入登录账号密码,验证通过后跳转到邮箱验证:
3.3. 本地账号创建与导出特殊字符不支持提示 在【对象管理】>>【本地账号】>>【+添加】本地账号时,若用户名或密码填写不支持的符号会弹出提示: 在【对象管理】>>【本地账号】>>【导出】本地账号时,若用户名或密码填写不支持的符号会导出失败:
3.4. SSID管理添加VLANID支持范围提示 在【无线AC】>>【SSID】>>【+添加SSID】时,若VLAN ID不在符合范围会弹出提示:
3.5. DHCPv6添加地址下发范围 在【宽带准入】>>【组织架构】>>【+添加用户组】时,新增DHCPv6地址范围和委派:
四、BUG修复 | 序号 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ros客户端获取不到PPPoE Server IPv6下发地址 | |
五、应用识别 5.1. 新增应用
| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 是一款专为出境人群打造的一站式海外应用商店与出行服务平台,核心解决国内手机安装、使用海外App的难题 | | | | | | | | | | | 是一款开源、本地优先、可自托管的自主AI智能体执行框架,核心是让AI直接在你的电脑上动手执行任务 | | | | | | 最常见的是一款AI驱动的在线内容创作工具主打一键生成PPT、网页、文档 | | | 当贝团队推出的、基于OpenClaw开源框架二次开发的国产本土化AI智能体(Agent)桌面软件。 | | | | | | 一款全能型AI创作+社交平台,整合ChatGPT、Claude、Gemini等模型,支持AI聊天、图像生成、换脸、自定义角色等功能 | | | 是一款面向学生的AI学习助手App,主打智能问答、拍照解题、作文辅助、中英互译等学习功能 | | | 腾讯轻量云为OpenClaw(龙虾AI)打造的云端专属对话通道与管理工具,主打零配置、多端同步、开箱即用 | | | 上海稀宇科技自研的多模态通用大模型与AI平台,提供文本、语音、视频、音乐生成及智能体(Agent)能力。 | | | 猎豹移动推出的、基于OpenClaw(龙虾AI)开源框架的桌面GUI工具,主打一键部署、零配置,帮助普通用户轻松上手AI自动化 | | | 腾讯电脑管家团队基于OpenClaw(龙虾AI)开源生态深度封装的本地AIAgent助手 | | | 快手旗下StreamLake推出的企业级大模型服务与开发平台(MaaS),面向企业与开发者提供一站式大模型调用、微调、部署与运维能力 | | | | | | 网易有道2026年2月正式发布并开源的桌面级AIAgent(智能体) | | | 阿里云通义实验室基于AgentScope框架开发的个人AI智能体工作台 | | | 360集团推出的多智能体蜂群协作平台,主打“一句话生成专业成果”,核心是多模型聚合+MCP工具链+智能体协作 | | | 垂直金融投研AI智能体平台,基于WindAlice大模型与全量金融数据打造,主打“把研究交给AI,决策留给用户”。 | | | 博云科技推出的企业级私有化AI智能体平台,主打极简安装、本地优先、数据不出域、技能可定制,对标OpenClaw但更侧重企业安全与易用性 | | | 百度智能云发布的全球首款手机端OpenClawAI智能体助手 | | | 国产Windows桌面级AI智能助手,主打一键安装、本地执行、手机远程控制电脑、飞书/钉钉深度集成 | | | | | EASPORTS研发、腾讯游戏代理发行的一款足球竞技类手机游戏 | | | | 基于经典美漫IP改编的第三人称团队射击游戏,主打双阵营对抗、本地分屏合作与休闲PVP。 | | | | | 短视频拍摄与分享软件,由炫一下(北京)科技有限公司于2013年8月推出 |
5.2. 更新应用
| | | | | | | | | 是一款主打Windows 系统级广告拦截的免费工具,核心是通过内核级过滤规则,拦截软件弹窗、网页广告、恶意程序与推广,适合追求深度去广告的用户 | | | | | | | | | 是完美世界用虚幻 5 引擎打造的新国风仙侠 MMORPG 端游 | | | | | | | 是一款圆谷正版授权、主打 3D 动作格斗 + 收集养成的国民级奥特曼手游 | | | | EA 旗下的经典竞速游戏 IP,以街头飙车、警匪追逐、深度改装为核心,是全球最具影响力的赛车游戏之一 | | | | | | | 是拳头游戏开发、腾讯代理的全球顶级 MOBA 竞技网游 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
六、DPI特征库更新
七、下载地址
标准版:
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 2026-4-8 16:27:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2026-4-17 09:26:46
