Panabit专业版v22.10.26(核心代号“唐r3”)版本发布
iWAN客户端(Windows版本&Linux版本)下载地址:https://bbs.panabit.com/forum.php?mod=viewthread&tid=23515&fromuid=264015一. 新增功能
1.功能简介1. 新增天翼网校园APP账号识别模块。2. 新增huawei5g二次鉴权;3. 新增iWAN管道模式4. 新增动态CGNAT功能5. 新增支持GRE接入
2.功能详解2.1 天翼网校园APP账号识别模块当天翼网校园客户端流量经过Panabit时,可以识别出APP提交的账号,同时将账号和IP关联;模块默认关闭,使用floweye zsteduapp config enable=1打开,0关闭;
2.2 5G融合二次鉴权在5G融合方案中,用户可以通过5G网直接访问内网资源, 5G设备会在报文里增加“增强头”,增强头信息会携带用户的手机号。这里衍生出了两个需求1) 手机号作为来访用户的身份信息,需要记录下这些手机号,以便溯源。这个在之前的版本已经实现。2) 对来访用户的手机号做一次认证,进一步确认来访用户的身份信息是否合法。这个就是二次鉴权。通过命令floweye huawei5g config enable=1 auth=1 radsvrid=N(radius服务的ID) 开启Radius服务的ID可以在【对象管理】--【RADIUS】--【服务列表】里查看 命令开启后,通过5G网络进入内网的流量,如果发现带有手机号信息的数据包,Panabit会使用手机号作为账号密码,通过radius协议到内网AAA上做一次认证。认证通过则放行,不通过则阻断这个IP的流量。
2.3 iWAN管道模式 解决在多隧道接入的情况下,iWAN客户端下IP段重复,在SERVER端无法配置路由的问题。 如图所示,在一个iWANSERVER下接入了 A B C D 4个iWAN客户端。要实现A和B互访。C和D互访。 从这个拓扑就可以看出,在SERVER端,实现A和B下的客户端互访是没问题的,但是如果同时也要实现C和D下的客户端也能互访,那么在传统的方式下就无法实现了。因此在iWAN上引入了管道ID和管道方向的配置。 管道ID:设置后表示开启管道模式,取值范围是1-1024。不填或者填0表示传统模式。 管道方向:取值0和1 管道是成对出现,如果实例拓扑图,A和B配置为一对管道,那么A和B的管道ID必须一样。同时管道方向配置1个为0,一个为1。管道配置好之后,SERVER无需再配置路由策略。SERVER会根据管道ID和管道方向自动进行转发。
2.4 SNMP更新1. 修复 OID 数据更新的问题;
2. 修复内存溢出导致CRASH的问题;
3. 兼容 RouterOS 的 The Dude 工具;
4. 调整 10G(含)以上速率网卡的 ifSpeed 显示;
5. 增加 CPU 使用率的 OID;
.1.3.6.1.4.1.2021.11.9.0 ssCpuUser
6. 丰富 Panabit 设备的专有 OID。
.1.3.6.1.4.1.58819.1.2.1 CPU温度
.1.3.6.1.4.1.58819.2.2.1 License起始时间
.1.3.6.1.4.1.58819.2.2.2 License结束时间
.1.3.6.1.4.1.58819.2.2.3 License剩余天数
.1.3.6.1.4.1.58819.2.2.4 License并发连接数
.1.3.6.1.4.1.58819.2.2.5 License并发IP数
.1.3.6.1.4.1.58819.3.2.1 最高在线用户数
.1.3.6.1.4.1.58819.3.2.2 当前在线用户数
.1.3.6.1.4.1.58819.4.2.1 最高PPS
.1.3.6.1.4.1.58819.4.2.2 当前PPS
2.5 增加动态CGNATCGNAT,全称Carrier-Grade NAT (运营商级网络地址转换)。在将私网地址(源地址)转换为公网地址后,还会将源端口进行转换,转换后的端口是一段固定且连续的端口范围。在【应用路由】--【CGNAT设置】--【动态分配】页面设置动态CGNAT每IP端口数量:给每个内网IP分配转换后的端口范围NAT地址池:转换后的IP范围,一般是公网IP。在【应用路由】--【策略路由】,添加策略,执行动作选择CGNAT,NAT线路选择正确的出口线路。比如192.168.0.10匹配了这条策略后,就会被转换成NAT地址池内的一个IP,转换后的端口会从1000-65535的端口分配1000个连续的端口给它。
2.6增加GRE线路配置说明根据互联需求配置GRE-LAN线路或者GRE-WAN线路。1、GRE-LAN线路配置【应用路由】-【接口线路】-【LAN线路】-【添加】 【名称】:GRE通道在web界面展示的名字【线路类型】:选择“GRELAN”【LAN】:GRE隧道的承载线路【对端地址】:GRE逻辑通道对端物理接口或者虚拟接口的IP地址【超时时间】:Keepalive探测报文发送间隔,检测链路连通性【下一跳】:当【LAN】与【对端地址】不是同一网段时使用,通过【LAN】路由到【对端地址】的下一跳IP。GREWAN线路配置【应用路由】-【接口线路】-【WAN线路】-【添加】【名称】:GRE通道在web界面展示的名字【线路类型】:选择“GRELAN”【网卡】:GRE隧道的承载线路【对端地址】:GRE逻辑通道对端物理接口或者虚拟接口的IP地址【超时时间】:Keepalive探测报文发送间隔,检测链路连通性【心跳服务器】:使用线路对填写IP进行ping检测链路连通性
二. 优化改进
所属功能优化项
代拨模块l 支持CMCCPORTAL查询时获取代拨线路最后一次错误信息,PORTAL可以这个信息告诉用户失败原因;
流量控制模块l 流量控制策略里,如果内网IP或外网IP里只有一个IP群组,删除这个IP群组后,这样内网IP或外网IP就变成ANY了,如果动作是BLOCK,就会造成严重问题。实际上这个时候含义已经完全变化了,原本是限制这个IP群组的,现在变成限制任意IP,所以这样的策略应该和以前版本一样做删除处理;
PPPOE代理模块l PPPOE代理账号上线后,可以发送认证日志,日志信息包括账号和IP对应关系;
在线用户l 在线用户,可以安装组织架构的方式进行展示;
DPI模块l 增加chknode_ontcpstart选项,这个选项默认为1,如果为0,那么在收到SYN包的时候,并不查找节点表,对于存在大量的SYN FLOODING的网络环境而言,关闭这个选项可以改进新建性能;并且不会对识别率有多少影响,但是对应用路由成功率可能会有影响;
日志发送模块l 增加发送用户下线日志;l 增加动态CGNAT日志;l 将SYSLOG日志条目数从8K扩大到16K;
认证模块l 完善认证模块用户上下线日志,以及下线原因;l临时用户最大在线数从1改成2,以支持短信认证时一个手机号码从PC和手机同时登录的场景;
网卡驱动l Linux网吧版,加入IXGBE2驱动,用以支持更多的网卡可以使用增强型驱动。
radsnif模块l 增加IPv6地址属性支持,可以显示IPv6地址账号信息,并且可以限速
http管控模块l 增加对IPV6的支持l 去掉对refer内容的匹配
IPSEC模块l 增加对 DES 和 3DES 算法的支持。l 增加调试日志,可以使用命令/usr/ramdisk/bin/ikectl log list 查看日志。l 预共享密钥的最大长度增加至 59 个字符
radius模块l 将MAC免认证类型的NAS-Port-Type属性设置成19(无线)
跨三层取MAC模块l 更新IP对象的MAC时,不刷新IP对象生存期
三. 页面更新
优化1.更新HTTPS证书,更新后页面会一直显示升级中,需要手动刷新一下页面;2.Linux版本,在web界面增加修改数据网卡的功能;3.PPPOE 用户组页面,增加“一键删除所有用户组”的功能;4.IP/MAC备注页面,增加批量编辑的功能;5.在线用户页面,增加组织架构的显示方式;6.增加动态CGNAT的设置页面;7.增加iWAN管道的设置页面;8.优化HTTP管控,TCP重置增加下一跳参数;9.“升级日志”页面,集中显示历史所有升级记录;BUG修复1.修复编辑WAN线路,基础MAC和当前MAC显示不正确的BUG;2.修复登录页面,登录页面锁定倒计时显示不正确的BUG;3.解决页面提交+号时,变成空格的问题;4.修复编辑“文件类型”时,对应的HTTP管控策略会丢失的BUG;
四. BUG修复
1.修复在线用户账号显示乱码的BUG2.修复TCP连接非首包也路由的BUG;3.修复CGNAT时连接被删除的BUG;4.修复使用CMCCPORTAL+代拨方式认证时,当代拨线路在线,第二次再发送COA做代拨时,会将所有的在线用户踢下线的BUG;5.修复CMCCPORTAL+代拨方式认证时,不能绑定代拨线路的BUG;6.修复本地PORTAL+RADIUS认证,RADIUS在Access Accept数据包种返回代拨信息,发现代拨能上线,但是radius账号没有上线的BUG。7.修复流控策略,内网IP端口是“xx,nn”格式时,重新启动后对应策略会丢失的BUG;8.修复CMCCPORTAL + Radius Accept方式代拨,如果数据包中没有指定VLAN,代拨不会使用地址池中的VLAN信息代拨的BUG;9.修复在某些情况下,从IWAN SERVER发出去的数据包的session id字段字节序错误的BUG;10. 修复网卡混合模式下,IPv6 IP流量统计只有流入或流出的BUG;
11. 修复在做VRRP联动时,LACP数据报文被VRRP STANDBY模块丢弃的,导致VRRP切换不了问题;
12. 修复首次MAC免认证+COA代拨时,认证成功但是IP的认证状态不是connected的BUG;13. 修复IP的代拨线路下线后,对应的CMCCPORTAL认证对象没有下线,修复这个BUG,同时记录下线原因为ACCTERM_SERVICE_UNAVALIABLE;
五. 特征库更新
1.更新“手机电视“协议特征;(误识别成BT)2.更新“英雄联盟“协议特征(手游);3.更新BSD和Linux下的traceroute协议特征,除了原有的ICMP特征外,还加入了UDP特征;4.更新“QQ音乐”协议特征;5.更新“YY直播”协议特征;6.更新“QUIC”协议特征;(Youtube)7.更新“QQ炫舞”协议特征;8.更新“摩尔庄园”协议特征;9.更新“暴雪补丁下载”协议特征;10. 更新“崩坏学园”协议特征;11. 更新“穿越火线”协议特征;12. 更新“QQ课堂”协议特征;13. 更新“倩女幽魂”协议特征;14. 更新“腾讯游戏补丁下载”协议特征;15. 更新“Uplay游戏更新”协议特征;16. 更新“BOSS直聘”协议特征;17. 更新“QQ音乐”协议特征;18. 更新“凤凰网”协议特征19. 更新“迅雷”协议特征;20. 更新“其它HTTP下载”协议特征;21. 更新“奇游加速器”协议特征;22. 更新“迅游”协议特征;23. 更新“海豚加速”协议特征;24. 更新“腾讯网游加速”协议特征;25. 更新“Brawlhalla”协议特征;26. 更新“玲珑加速”协议特征;27. 更新”Amongus”协议特征;28. 更新“应届生求职”,后台用的是51JOB,合并到51JOB29. 更新“领英“协议特征;
六. 特征库新增1. 新增“Riotgames”协议特征;2. 新增“网上招聘”协议组;3. 新增“BOSS直聘”协议特征;4. 新增“智联招聘”协议特征;5. 新增“猎聘”协议特征;6. 新增“前程无忧“协议特征7. 新增“拉钩”协议特征;8. 新增“58同城“协议特征;9. 新增“兼职猫”协议特征;10.新增“Wireguard”协议特征;11.新增“讯飞听见”协议特征,合并到“云视讯/ZOOM”;12.新增“连信”协议特征;13.新增“小米云”协议特征;14.新增“Vivo云”协议特征;15.新增“移动云”协议特征;16.去掉“爱秀语言”协议特征;17.去掉“英雄三国”协议特征;18.去掉“真三国无双”协议特征;19.去掉“寻龙记”协议特征;20.去掉“倾国倾城”协议特征;21.去掉“海战世界”协议特征;22.去掉“非凡影音”协议特征;23.去掉“videospeed”协议特征;24.去掉“领秀娱乐”协议特征;25.去掉“TERA”协议特征;26.去掉“闪维”协议特征;27.去掉“游乐吧”协议特征;28.去掉“迅雷云点播”协议特征;
七.版本下载: 标准版、网吧版、SMB版的用户请不要下载升级!!!
基于FreeBSD9:https://download.panabit.com:8443/discuz/Panabit/20221026/PanabitOEM_TANGr3_20221031_FreeBSD9.tar.gz基于Linux:https://download.panabit.com:8443/discuz/Panabit/20221026/PanabitOEM_TANGr3_20221031_Linux3.tar.gz
页:
[1]