Panabit标准版v22.08.29(核心代号“唐r2”)版本发布
一. 新增功能1. 功能简介1. 新增VRRP功能,主要解决双机主备部署的易用性和可靠性。2. 新增LACP功能,支持以LACP的方式进行端口聚合。3. 新增SNMP,将SNMP集成到PanaOS内,不再是一个第三方的模块。4. 新增网卡混合模式功能。5. 增强TCP流量识别。6. AD域免认证。
2. 功能详解
2.1 VRRP
使用场景:Panabit作为出口网关,可以通过VRRP功能实现双机主备。
拓扑图:两台Panabit主备部署,共用一个出口IP做NAT。由于出口IP只有1个,因此会用到VRRP联动功能。
PA1主机VRRP配置
配置LAN线路,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。配置VRRP主机,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。【线路类型】选择VRRP-IPV4,LAN选择创建的LAN线路,IP为内网网关。开启VRRP抢占,将优先级设置高优先级。开启VRRP状态与接口线路的联动功能。【应用路由】-【VRRP联动】在【联动接口选择】勾选配置的VRRP接口名称。只能关联一个VRRP接口。(当VRRP状态为backup时,将关闭设备所有LAN线路和WAN线路的输出;VRRP状态为master时,开启所有LAN线路和WAN线路的转发功能)
Pa2备机VRRP配置
配置LAN线路,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。备机LAN线路IP与主机LAN线路IP在同一网段,且不与网络中其他主机IP冲突。配置VRRP接口,【应用路由】-【接口线路】-【LAN接口】添加LAN线路。【线路类型】选择VRRP-IPV4,LAN选择创建的LAN线路,IP为内网网关与主机填写一致。开启VRRP抢占,将优先级设置低优先级。设备为VRRP备机模式。VRRP ID与主机设置相同的ID。开启VRRP状态与接口线路的联动功能。【应用路由】-【VRRP联动】在【联动接口选择】勾选配置的VRRP接口名称。只能关联一个VRRP组。(VRRP状态为backup时,关闭所有LAN线路和WAN线路的输出;VRRP状态为master时,开启所有LAN线路和WAN线路的转发功能)
注1:VRRP功能抢占如果不开启,默认先配置的为主,后配置的为备,断开主后,备切到主状态,主恢复后备不会切到主状态;开启后选择优先级高的为主,低的为备,主断开后,备切为主状态,主恢复后,备从主状态切到备状态。注2:当出口IP资源充足,备机也可以分配不同的出口IP时,可以不使用VRRP联动功能。
2.2 LACP
以和思科对接为例
配置LACP捆绑
【系统概况】-【网络接口】点击网卡后面的编辑图标,在弹出的页面中配置。【链路捆绑组】选择任意捆绑组即可,做捆绑的网卡选择同一个捆绑组。【链路组参数】-【捆绑协议】选择【LACP】;【老化模式】:链路组协商超时时间【快速模式】为3秒、【慢速模式】为90秒;【被动模式】开启代表只接受LACP报文进行判断链路状态,关闭代表主动发送LACP报文去协商链路状态。
配置WAN线路测试
【应用路由】-【接口线路】添加WAN线路进行测试,网卡选择链路组任意接口。
配置思科交换机
配置捆绑组为TRUNK模式配置接口加入捆绑组为LACP主动模式
LACP功能测试
查看交换机上链路捆绑状态
Panabit设备上接口线路ping测试当链路组的一个接口断开后ping测试
2.3 SNMP
以ZABBIX为例,服务器通过SNMP协议获取到Panabit设备的cpu使用率、内存和硬盘试用率、网卡流入流出速率等信息。
配置方法:开启SNMP功能
登录Panabit系统,在【系统维护】-【系统设置】-【SNMP服务】将SNMP访问开启,同时设置好【团体名】和【服务白名单】。
配置ZABBIX服务器添加主机群组
首先添加主机群组。在【配置】-【主机群组】页面右上角【创建主机群组】添加。
添加主机在【配置】-【主机】页面右上角点击【创建主机】。
【主机名称】自定义、【模板】选择模板群组Templates,并选择其中的Linux CPU SNMP,Network interfaces discovery,Linux memory SNMP等模板、【主机群组】选择上面创建的主机群组、【接口】选择SNMP,IP填写Panabit设备管理口IP、版本选择v1或者v2、在【宏】页面配置SNMP的团体名。
测试效果
配置完成后在【配置】-【主机】页面查看新配置的主机的【监控项】、【触发器】、【图形】有数据后代表通过SNMP协议获取设备信息状态正常。
在【监控】-【主机】点击新添加的主机的图表,选择时间可以查看到具体的统计信息。
CPUjumps:就是Process(Thread)的切换,如果切换过多,会让CPU忙于切换,也会导致影响吞吐量,值越高说明等待共享资源的线程数越多。(由Linux CPU SNMP模板产生)CPUutilization:CPU使用率。(系统模板无法读取,可通过Pa设备执行floweye snmp getoid=.1.3.6.1.4.1.2021.11查看对应数据的OID,在【监控项】中配置,然后在图表调用该项目)System load:系统负载处于runnable或uninterruptable状态的进程数。(由Linux CPU SNMP模板产生)Memoryutilization:内存使用率。(由 Linux memory SNMP模板产生)Interface XXX:系统接口线路流入和流出速率。(由Network interfaces discovery模板提供,会根据在Pa设备上创建的线路来创建相同数量的图表。XXX为线路名称当线路名称为中文时会变成????)硬盘信息:获取当前系统/目录空间大小、使用空间大小、剩余空间大小等信息。(通过Pa上执行“floweye snmp getoid=.1.3.6.1.4.1.2021.9”命令获取对应的OID,然后根据对应的OID配置【监控】和【图表】)
2.4 网卡混合模式功能在很多旁路分析的环境里,用户会将上下行流量混合到一个物理网卡送进来,这种场景下要区分上下行,当前只能通过设置合法IP地址段。但是当无法知道合法的IP地址段时,这个时候流量要么都统计成上行,要么都统计成下行。为了处理这种情况,给物理网卡增加一个【混合模式】的参数,当状态为开启,并且没有设置合法IP段的时候,系统根据会话的源地址和目的地址流量来决定上下行,源->目方向为上行,目->源方向为下行,并且以会话的源地址创建内网在线用户。(TCP会话根据三次握手确定源地址,UDP会话的根据首包确定源地址)
开启方法:网络接口配置里将混合模式启用
总结:在旁路分析上下行流量混合镜像到一个物理网卡的环境里,只需要将网卡设置为混合模式,就能自动区分和统计上下行流量。
2.5 增强TCP流量识别当Panabit接收到的TCP流量不完整时,比如没有收到三次握手的报文,那么这部分流量会被识别成无连接TCP。这部分流量是不会创建连接的,在连接信息里找不到它们的5元组信息。我们可以通过调整参数floweye flowconfigtcpsetup_onnosyn=1 (默认为0)来跟踪这些流量的5元组信息,并且创建会话。但是识别仍然是无连接TCP。这次的更新对无连接TCP流量做了进一步的识别改进。当调整参数增加floweyeflowconfigtcpsetup_onnosyn=2时,会增加对HTTP和HTTPS特征的识别跟踪,可以增强对不完整TCP流量的协议识别率。
2.6 AD域免认证
基础说明在网络中部署WEB认证以及AD域控的场景中,针对AD域中用户,当域用户通过域账号登录域服务之后,用户无需再次进行WEB认证,Panabit中根据用户域信息建立用户认证信息,从而直接上网。Agent通过在AD服务上部署用户组策略代理,将用户上线、下线信息发送给Panabit。逻辑关系如图所示。
当用户上线(登录域)、下线(注销)时,Agent将发送通知报文到Panabit。目前Panabit上提供配置命令
floweye adauthconfig enable=<1|0> port=<x>
其中,enable,必须配置,开启或者关闭Agent登录功能,1为开启,0为关闭port,可选配置,配置报文端口好,默认端口7777
floweye adauthstat
查看运行状态 AD域服务器操作用户Agent即为文件:PALogon.exe,使用用户组策略将此文件部署到AD服务器。以Windows Server2012 R2的默认用户组策略为例,配置步骤如下:(1)点击【开始】--【管理工具】 (2)点击【组策略管理】 (3)右键点击【Default Domain Policy】--【编辑】 (4)依次展开【用户配置】-【策略】-【Windows设置】-【脚本(登录/注销)】 (5)双击【登录】点击【显示文件】 将PALogon.exe复制到此目录下 点击【添加】 点击【浏览】选择PALogon.exe脚本参数填写:<PanabitLAN IP><通信端口号> logon 确定并应用确定 (6)双击【注销】同样【显示文件】、复制PALogon.exe,【浏览】选择操作,参数填写<Panabit LANIP><通信端口> logoff
之后,确定并应用确定。
二. 优化改进
所属功能优化项
流量控制模块 在“端口镜像“和”端口转发“动作里支持只镜像或转发会话前N个数据包;当动作为阻断时,如果是ARP包文,则不做阻断。新版本去掉单线DSCP标记功能。
huawei5g模块增加对HTTP流量标记支持;增加对字符串形式的手机号码支持;可以将嗅探到的手机号码和本地账号用户组关联,可匹配用户组相关策略;
共享检测模块将QQ号码、微信UID和邮件账号加入到权值计算;
PPPOE代理模块增加PPPOE代理流量的DPI识别和控制功能,功能默认关闭;使用floweye clntpxy configdpi_enable=1来开启该功能
DHCP模块DHCP SERVER增加域选项。
http管控模块TCP重置策略增加下一跳参数,可以配合LAN接口实现TCP重置。
DPI模块默认关闭“虚拟货币”这个应用节点跟踪功能
MAC记忆模块增加CMCCPORTAL认证成功后,马上进行记忆MAC的功能
Radius嗅探模块除了嗅探1812和1813端口的radius报文,还可使用命令floweye radsnif config port0=N port1=M配置跟踪嗅探额外的两个自定义端口。
注:标准版暂不支持huawei5g模块
三.页面更新
优化1.增加“升级日志”页面,集中显示历史所有升级记录;2.页面集成SAC,无需单独安装SAC APP;3.增加SNMP服务的设置;4.增加VRRP联动的设置页面;5.网卡设置,增加LACP的设置,混合模式设置;6.PPPOE代理账号,增加在线人数参数;7.优化“端口映射”页面,增加“复制”端口映射的操作;8.升级系统”页面,增加“当前系统时间”的显示,增加升级状态的显示;9.新增复制WAN线路的功能,方便快速新增WAN线路;10.新增全局搜索功能(搜索内容目前限于页面菜单的关键字);11.端口映射页面增加排序功能。
BUG修复1.修复密码过期后无法自助修改的BUG;2.修复PPPOE在线用户的显示BUG。
四.BUG修复
1. 修复ESP流量没有进iWAN隧道的问题;2. 修复huawei5g模块,计算64bit手机号码出现的问题;3. 修复ping ipv6地址会导致crash的BUG;4. 修复icmpV6在Linux下工作异常的问题;5. 修复新流控修改策略序号导致策略组计数器增加的BUG;6. 修复PPPOESVR在RADIUS认证后,重复认证同一个client不发送计费STOP数据包的BUG;7. 修复在CMCCPORTAL认证时,Radius传递过的Session-Timeout时间达到后,不会让用户下线的BUG。
五.特征库更新
1.修复“百度搜索”和“百度地图”识别成“百度云盘”的BUG;2.修复“网易邮件”识别成“网易视频”的BUG;3.更新“腾讯会议”协议特征;4.更新“飞书文件传输”协议特征;5.更新“九阴真经”协议特征;6. 更新“MGCP”协议特征;7. 更新“雷神加速“协议特征;8. 更新“阿里通“协议特征;9. 更新“Slack“协议特征;10.更新“陌陌“协议特征;11.更新“飞信“协议特征;12.更新“VV视频“协议特征;13.更新“KIK“协议特征;14.更新“Discord“协议特征;15.更新“嘟嘟“协议特征;16.更新“KakaTalk“协议特征;17.更新“云视讯/ZOOM”协议特征;18.更新“和平精英”协议特征;19.更新“火影使者”协议特征;20.更新“使命召唤”协议特征;21.更新“葫芦网“协议特征;22.更新“SausageMan”协议特征;23.更新“Steam游戏更新“协议特征;24.更新“生死狙击“协议特征;25.更新“实况足球“协议特征;26.更新“classin“协议特征27.更新OpenVPN协议特征;28.更新“FreeFire”协议特征;29.更新“企业微信文件传输”协议特征;30.更新“Tiktok”协议特征;31.更新“永劫无间“协议特征32.更新“360云盘“协议特征;33.更新“PPStream”协议特征;(爱奇艺会用到)34.更新“百度云盘”协议特征;35.更新“芒果TV”协议特征;36.更新“新浪微盘”协议特征;37.更新“115网盘”协议特征。
六.特征库新增
1. 新增“JSONRPC“协议特征;2. 新增“RTPS“协议特征;3. 新增“SVRLOC”协议特征;4. 新增“LostArk“协议特征;5. 新增“DTLS“协议特征;6. 新增“苏丹的游戏”协议特征;7. 新增“SausageMan“协议特征;8. 新增“HiggsDomino”协议特征;9. 新增“Supersus”协议特征;10.新增“Fifasoccer“协议特征;11.新增“实况足球“协议特征;12.新增“wegame下载”协议特征;13.新增“zerotier“协议特征;14.新增“Spotify”协议特征;15.新增“智慧教育”协议特征;16.新增“其它HTTPDNS”美团,快手的HTTPDNS归到此类;17.新增“QQ远程桌面“协议特征;18.去掉“天翼空间“协议特征;19.去掉“火影世界“协议特征;20.去掉“火猫TV“协议特征;21.去掉“灌篮高手“协议特征22.去掉“新浪微博APP”,合并到“新浪微博“;23.去掉“晓黑板“协议特征;24.去掉“大明龙权”协议特征;25.去掉“虎豹骑“协议特征;26.去掉“无秘”协议特征;27.去掉“流星蝴蝶剑“协议特征;28.去掉“来往”协议特征;29.去掉“飞聊”协议特征;30.去掉“刀锋铁骑”协议特征;31. 去掉“子弹短信“协议特征。
七.版本下载: 专业版、网吧版、SMB版的用户请不要下载升级!!!
基于FreeBSD9:https://download.panabit.com:8443/discuz/Panabit/20220829/PanabitFREE_TANGr2_20220829_FreeBSD9.tar.gz基于Linux:https://download.panabit.com:8443/discuz/Panabit/20220829/PanabitFREE_TANGr2_20220829_Linux3.tar.gz
使用云平台无法升级,标准版提示升级包错误。 lisheguo 发表于 2022-8-30 14:13
使用云平台无法升级,标准版提示升级包错误。
升级云服务,即可解决问题。
页:
[1]