chen.hong 发表于 2023-10-24 16:04:23

Panabit核心代号“唐r5p5”版本发布

一、功能优化

1、新增IPv4到IPv6转换功能(1)应用场景:         在IPV6的场景中,用户内网还未完成IPV6的全面改造,但是对IPV6的出口流量有考核要求,因此将IPV4转换成IPV6来解决这个问题。(2)实现原理:当内网用户去访问域名时,用户访问域名流量经过Panabit后,Panabit会跟踪用户IPV4的DNS解析记录,同时主动去获取域名的IPV6解析记录,然后将用户后续访问域名业务的IPV4-IPV4的会话转换为IPV6-IPV6,整个过程对内网用户无感知。(3)配置方法网络管理->V4/V6转换配置:                              V4/V6转换:打开V4/V6 NAT模块;IPV6 WAN线路:选择一条IPV6的 WAN线路,会从这条线路转发V4/V6 NAT后的流量;DNS解析线路:选择一条IPV4的线路,用来产生AAAA类型的DNS请求,获取用户访问域名的AAAA记录;
默认DNS:如果上面选择的DNS    解析线路没配置DNS,则使用这里配置DNS服务器获取用户访问域名的AAAA记录;
IPV6前缀:用户NAT后的V6地址前缀,V6 NAT后源的ip为v6前缀+用户IPV4地址(16进制);
前缀长度:建议默认配置为64;(IPv6前缀长度指示了一个IPv6地址中网络前缀的位数,不同的前缀长度代表了不同的地址分配和网络规模。)
转换网站:如果指定,则只对列表中的域名做IPV4/IPV6的转换。
不转换网站:如果指定,对列表中的域名不做IPV4/IPV6的转换。
2、代拨模块
当代拨线路已经和BRAS连接成功,并且没有任何内网IP使用这条线路时,这条代拨线路处于空载状态;为了节省资源,处于空载状态的代拨线路在等待一定的时间(默认为60秒)后,会自动和BRAS断开,同时删除代拨线路;用户希望这个参数设置大一些(比如600),避免频繁代拨,降低bras压力;如果代拨频繁的话,BRAS经常会延时响应;
但是ttl这个参数同时控制代拨线路的拨号等待时间,就是如果代拨线路拨号不成功时,代拨模块最大的等待时间,超过这个等待时间就认为拨号失败,同时给AAA返回代拨失败的消息;所以如果这个ttl参数过大,当不能成功拨号时,也会导致用户等待时间过长,严重影响客户的体验;基于上述原因,增加datattl参数,用来控制代拨线路的最大空载时间,为了兼容现有用户,将这个参数默认值设为0,如果该值为0,则使用ttl参数值;使用floweye ippxy config datattl=N设置参数,使用floweyeippxy stat | grep datattl可以查看参数当前值;
3、策略路由模块
在一医共体用户那里碰到一个奇怪的问题,我们的AX100替换出口设备上线收,用户的视频会议就中断,视频会议使用的是H323,但是使用路由策略,所以应该不是因为我们缺H323 ALG的原因。经过分析发现,视频会议的控制连接是TCP,这个TCP连接会一直保持,除非终端挂断。我们的策略路由是基于会话的,AX100接上去的时候,因为终端的TCP会话没有重新发起,没有SYN包,这部分流量会识别成无连接TCP,默认情况下Panabit也不会对无连接TCP的流量创建会话,路由模块也就没法转发。通过命令floweye flow config tcpsetup_onnosyn=1,Panabit会对无连接TCP流量创建会话,但是即使创建了无连接TCP会话,但是策略路由模块依旧会忽略这条会话。仍然无法转发流量。改进无连接TCP会话跟踪代码,解决无连接TCP流量也能匹配策略路由模块,问题解决。 一网吧用户有两条静态的WAN线路,游戏默认走第一条WAN线路,当这条线路DOWN后,游戏不能切换到另外一条线路,原因是游戏用的是UDP连接,在UDP连接没有老化前,路由还是挂在第一条线路上。解决方式是定期检查连接,当发现上述现象时,将UDP连接删除,后续包进来后重新创建连接,重新路由。为了避免有不好的结果,在NAT模块增加rmvonpxydown参数,该参数默认为0,当为1时,执行上述检查使用floweye nat configrmvonpxydown=1|0设置该参数,使用floweye nat stat | greprmvonpxydown获取参数当前值。
4、flow模块在一行业客户那里,BGP环境,存在大量的SYN扫描,导致连接新建居高不下,最高峰flow新建超过200W/s。用户主要目的是旁路分析流量并记录会话日志,带有扫描性质的会话记录没有太大意义,并且消耗了大量的CPU资源,2000万PPS时系统还在丢包(PX51)。为了解决上述问题,在flow模块增加tcpsetup_onsyn选项,这个选项默认为1,表示系统接收到SYN数据包就新建会话;如果为0,则接收到SYN包后不新建会话。用户可以将tcpsetup_onack选项,设置为0(该选项默认也为1),在接收到SYN+ACK数据包时创建会话。
floweye flow config tcpsetup_onsyn=1|0来设置选项,使用floweyeflow stat | grep tcpsetup_onsyn查看选项当前值。注意:网关部署时,不能开启这个功能。
5、流量控制模块增加数据通道优先级个数。当前数据通道最大支持的优先级为16,对于95%的用户,这个数字是可以满足要求的。河北一用户需要使用我们的系统替代bluecoat,需要用到大量的保证带宽和最大带宽限制,16个优先级根本不够,需要支持更多。因此在此版本里增加了优先级个数,默认还是16个,可以在/etc/PG.conf里增加一行“MAX_PRIORITY=N(N≤64)”参数来指定优先级个数。重启PANAOS生效。
6、DNS管控模块增加请求类型匹配条件在一些双协议栈的网络环境下,客户端会同时请求域名的IPv4和IPv6地址。客户端会同时发送两个DNS请求,一DNS请求解析IPv4地址,另外一DNS请求解析IPv6地址。一般DNS服务器都能解析出IPv6地址,但是实际中很多V6地址并不能提供实际的服务,所以需要将这部分DNS请求给DROP掉,不让客户端去访问域名对应的IPv6地址。
查询类型条件参,用来指定请求的地址类型,分别有“ANY”“IPV4”“IPV6”三个条件,顾名思义,如果是“IPV6”,则只匹配IPv6地址请求,如果是“IPV4”,则只匹配IPv4地址请求,如果参数为”any”,则匹配所有IP类型请求。
7、5G头增强识别模块运营商处于安全考虑,要对在报文中插入的头增强信息(手机号)做加密处理。因此改进5G身份识别模块,增加对RC4+ BASE64加密身份的支持;增加了两个参数encrypt=1 password=AAA,encrypt为1表示使用RC4算法,password参数保存RC4解密用的密码;通过命令floweye huawei5g config encrypt=1password=AAA 来配置。使用floweye huawei5g stat查看选项当前值。
8、VRRP模块当设置VRRP联动时,VRRP接口进入master状态,对所有WAN线路的NAT地址池发送免费ARP。这样对端交换机才能将NAT地址池内IP的流量切换到对应的端口上。
9、DPI模块在做域名自定义协议时,通过DNS应答报文中的answers部分可以拿到域名和IP的对应关系,那么对应的目标IP流量就能识别成自定义协议。但是发现有些DNS应答报文的answer部分内容,域名的表达方式不一样,包含了实际域名(一般是用偏移量表示域名),此问题会影响自定义协议中的域名跟踪,导致识别异常,引起自定义的域名不能正确分流;针对这种情况作了优化处理,解决问题。
10、其它优化更新AX系列网卡驱动;优化IP对象管理模块,改进和其它模块协作效率;IPSEC服务端支持RFC3457 NAT检测;
二、BUG修复

修复配置IPv6策略路由时,当下一跳为0.0.0.0的时候,会获取到错误地址的BUG; 修复在使用adauth模块接收来自AD域客户端脚本或AD域监控器发过来的用户上下线信息时,当IP的账号发生变化时,adauth模块并没有更新IP对应的账号信息的BUG; 修复当策略更新的瞬间,数据通道的算法有可能会导致优先级0的数据被丢弃的BUG;
三、页面更新

1.   修复SNMP白名单不保存问题2.   有客户反馈备注信息太短,需要支持更多的备注信息;将策略的备注信息从64字节扩大到128字节;3.   扩大账号名称长度到48字节将账号名称从36字节扩大到48字节;4.   导入域名群组,增加“追加/覆盖”的选择;5.   更新菜单,优化菜单搜索功能6.   优化Ping页面,增加实时统计和趋势图
四、特征库更新

更新2种协议
五、 下载地址
标准版:
Linux:
FreeBSD:

专业版:
Linux:
FreeBSD:
ARM:

网吧版:
Linux:
FreeBSD:
ARM:

SMB版:
Linux:
FreeBSD:



下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版/网吧版/SMB版)。
其中,ARM架构的Panabit(如AX50系列),请选择ARM的专业版或网吧版进行下载。



Reaper 发表于 2023-10-25 07:11:16

几百年了终于有这个功能了

Reaper 发表于 2023-10-25 07:17:05

PPPOE V6 什么时候支持

ning26 发表于 2023-10-25 11:14:36

端口映射用不了,提示解析返回数据出错

哈哈哈1231 发表于 2023-12-22 11:05:40

升级提示联系厂家是什么回事

迷离指端 发表于 2023-12-27 21:58:24

我的还是R5.51,也不考虑升级了
页: [1]
查看完整版本: Panabit核心代号“唐r5p5”版本发布