|
一、新增功能 1.1. iWAN二层交换 1.1.1.应用场景 iWAN二层交换用于在公共网络上建立的隧道(iWAN)内,实现异地终端的二层网络交换,达到类似“专线”或“虚拟网线”效果。
说明:1、 iWAN内建立一台虚拟L2交换机,实现基于MAC地址的寻址转发;2、 标准版不支持此功能,请升级Panabit版本至专业版。 实现原理 iWAN 服务端建立并维护接入客户端的ARP表项,将服务端的本地物理端口与iWAN客户端组成虚拟二层局域网。 参数释义: | 序号 | | | | | | | | | | | 本地端口,iWAN server端的物理端口; 远程端口,接入iWAN server 的iWAN客户端; | | | TAG模式,从端口进入的数据包必须携带对应的VLAN ID,从端口出去的数据包也会打上对应的VLAN ID。 UNTAG模式,从端口进入的数据包不能携带VLAN,从端口出去的数据包也不会携带VLAN。 | | | | | | | | | |
1.1.2.二层转发 在【网络配置】>>【LAN/WAN】>>【WAN线路】>>iWAN类型WAN线路中新增二层转发选项。 新增参数:功能开关、本地网卡、本地VLAN、转发VLAN。 参数释义: | 序号 | | | | | | | | | | | 配置VLAN ID,可以为0,当报文携带的VLAN是【本地VLAN】,且目标MAC与LAN/WAN线路不同的MAC,将被iWAN隧道转发到iWAN服务器端。 | | | iWAN服务端会根据转发VLAN,自动添加为对应VLAN的远程端口。 |
1.1.3.配置举例 1、业务需求 ① 上海分公司视频监控需回传至总部监控系统 ② 广州分公司PC需访问总部服务器资源 ③ 监控业务与访问服务器二层VLAN隔离 2、配置思路 设备配置分为四个部分: a) 转发VLAN规划
b) 北京服务端配置 | 序号 | | | | | | | | | | | | | 开启iWAN二层转发 【虚拟专网】>>【iWAN交换】>>【参数配置】>>开启>>确定 添加监控VLAN 【添加】>>【VLAN】100、【端口】eth0、【端口模式】Tag模式 添加服务器VLAN 【添加】>>【VLAN】10、【端口】eth1、【端口模式】Untag模式 |
c) 上海客户端配置 | 序号 | | | | | | | | | 添加iWAN线路 服务端IP/端口、iWAN账号/密码、开启二层转发、本地网卡【填写eth2】、本地VLAN【0】、转发VLAN【100】 | | 添加上网路由: 目的IP【any】、线路【WAN线路】、动作【NAT】的策略路由 |
d) 广州客户端配置 | 序号 | | | | | | | | | 添加iWAN线路 服务端IP/端口、iWAN账号/密码、开启二层转发、本地网卡【eth3】、本地VLAN【30】、转发VLAN【10】 | | 添加上网路由: 目的IP【any】、线路【WAN线路】、动作【NAT】的策略路由 |
1.2. iWAN分段路由(SR路由) 1.2.1.应用场景 iWAN作为PanabitSD-WAN解决方案的关键技术,由于其高度的灵活性和超高的转发性能,越来越多的SD-WAN运营客户作为核心技术方案进行部署组网。为了进一步提升如下应用需求: 1)多租户: 以SDWAN运营为目的的网络内,分支节点的IP地址不可避免地会出现重复情况,无法以路由的方式转发数据。 2)数据保密性: 当前CPE接入到POP点后,POP点需要对数据包进行解包处理,无法满足用户数据保密性需求。
1.2.2.实现原理 Panabit在现有iWAN组网技术基础上特地引入了分段路由(Segment Routing,以下简称SR)技术,SR是一种根据事先设定好的转发路径(Path)来转发数据包的路由技术,SR技术有以下特点: 1)数据包的转发是基于事先设定好的路径,路径就是一段段(Segment)连接起来的有序的Segment List,路径是全局唯一的。 2)中间转发节点(POP点)只依据数据包中的路径来转发数据包,不对数据包做更深层次的解包处理,POP点不关心数据包的任何payload,payload可以是传统的IP包,也可以是非IP包。 路径的全局唯一性和POP点不解包特性,完美地解决了多租户及用户数据泄密担忧问题。
说明:标准版不支持此功能,请升级Panabit版本至专业版。
分段路由特性: 1)分段标识 CPE和POP,POP和POP之间的连接称为分段(Segment),为了标识该分段,给每个分段赋予一个唯一的标识,这个标识称之为分段ID。 注意:分段标识在运营网络内的Panabit不能重复,分段标识字段设置范围为【1-232】 2)转发路径(Routing Path)。 转发路径就是由若干个分段标识组成的一个有序的分段标识列表,按照列表数值的排列顺序不同而不同,所以“2,4,7”和“7,4,2”是两条不同的转发路径。 注意:1、目前Panabit支持的最长SR转发路径为6条:2、Panabit的SR会话数据基于分段标识转发,为保证数据私密性,SR数据经过的中间Panabit节点内无法在TOP用户内查看SR会话。
1.2.3.配置举例 内容服务商通过Panabit设备搭建SD-WAN网络,为接入的用户业务加速、异地互联等业务。 对有异地互联业务需求的用户提供最近的接入POP点信息和分配的【线路标签】,各分支和总部通过iWAN接入SD-WAN网络。通过配置分段路由实现异地互联。 (1)业务需求 ① 北京上海广州建设POP运营网络 ② 武汉客户PC需要访问西安客户PC ③ 武汉客户PC需要访问长沙客户PC ④ 任意POP节点故障一台不影响客户业务 (2)SR路由规划
(3)配置思路 配置主要分为两个部分:POP点(4台),CPE(2台) 服务端配置 POP节点配置数据类似,下文以北京POP节点配置为例进行说明 | 序号 | | | | | | | | | | | | | | | | | 【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为4 | | 【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为3 | | 【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为5 | | | 【系统概况】>>【在线用户】中确认互联Panabit的iWAN账号是否在线。 |
客户端配置
| 序号 | | | | | | | | | | | | 【网络设置】>>【WAN/LAN】>>添加北京iWAN线路>>分段标识设置为2 | | 【网络设置】>>【WAN/LAN】>>添加广州iWAN线路>>分段标识设置为1 | | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】1,7,11 | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】2,4,9 | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】1,7,12 | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路类型】iWAN-SR>>【转发路径】2,4,10 | | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:8080>>【执行动作】路由>>【路由线路】 | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:8080>>【执行动作】路由>>【路由线路】 | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:443>>【执行动作】路由>>【路由线路】 | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.20:443>>【执行动作】路由>>【路由线路】 |
| | |
西安客户端配置 | 序号 | | | | | | | | | | | | 【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为9 | | 【网络设置】>>【WAN/LAN】>>添加成都iWAN线路>>分段标识设置为11 | | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉主>>【线路类型】iWAN-SR>>【转发路径】11,7,1 | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉备>>【线路类型】iWAN-SR>>【转发路径】9,4,2 | | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉主 | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉备 |
| | |
长沙客户端配置 | 序号 | | | | | | | | | | | | 【网络设置】>>【WAN/LAN】>>添加上海iWAN线路>>分段标识设置为10 | | 【网络设置】>>【WAN/LAN】>>添加成都iWAN线路>>分段标识设置为12 | | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉主>>【线路类型】iWAN-SR>>【转发路径】12,7,1 | | 【网络设置】>>【WAN/LAN】>>添加线路>>【线路名称】SR武汉备>>【线路类型】iWAN-SR>>【转发路径】10,4,2 | | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉主 | | 【网络设置】>>【路由/NAT】>>【IPv4】添加策略>>【匹配条件】192.168.0.10>>【执行动作】路由>>【路由线路】SR武汉备 |
| | |
1.3. IDS入侵检测 入侵检测(IDS)是一种网络安全技术,主要用于监测网络或系统中可能存在的入侵行为,帮助用户检测网络中的异常行为,如攻击、病毒、蠕虫等,并及时发出告警或阻断。 1.3.1.实现原理 IDS入侵检测引擎根据内置规则库对PanaOS预选流量进行检测,对匹配的异常会话生成日志告警或阻断指令到Panaos进行流量阻断。 支持型号 开启IDS功能需要消耗较多内存及单独的处理单元,目前支持以下硬件型号: | IDS支持型号 | AX40、AX120、AX10K PX7C、PX30C PX6Z、PX7S |
1.3.2.功能特点 1)业务数据转发无延迟 IDS检测引擎为旁路并行处理架构,业务数据转发无延迟,兼顾网络安全与网络转发性能。 说明:1、 Panabit IDS使用独立管理平面运行,不影响正常业务数据转发;2、标准版不支持此功能,请升级Panabit版本至专业版。
2)七层应用DPI+入侵检测IDS 利用Panabit七层应用识别优势,对日常流量占比较高的网络视频、应用下载、游戏类等流量Bypass处理,提高IDS检测速度和检测效率。
说明:内置的白名单对无需检测的数据报文进行过滤。 | 名称 | | | | | floweye paids config appenable=[appname] | | floweye paids config appdisable=[appname] |
3)安全强大的实时监控和防御能力 内置15大类常见的网络威胁特征,快速发现异常行为,及时发出警报,使组织能够迅速采取措施应对可能存在的信息泄露或攻击风险。 | 类型 | | | 是指信息系统中存在的、可被利用的安全缺陷。攻击者可以通过这些漏洞获得未经授权的访问权限,或造成其他损害。 | | 一种恶意软件,通常伪装成合法程序诱骗用户安装。一旦激活,它可以窃取信息、破坏数据或允许攻击者远程控制受感染的计算机。 | | 指针对网站或Web应用的安全威胁,如SQL注入、跨站脚本(XSS)、文件上传漏洞等,目的是盗取敏感数据、篡改网页内容或中断服务。 | | 泛指所有出于恶意目的而实施的攻击行为,包括但不限于病毒传播、数据盗窃、服务中断等。 | | 攻击者使用自动化工具探测目标系统的开放端口、服务及存在的漏洞,为后续的攻击做准备。 | 非法访问 (Unauthorized Access) | 指未经授权擅自进入计算机系统或网络的行为,常通过利用漏洞或猜测密码等方式实现。 | | 一种寄生型的恶意软件,附着于正常程序之中,当宿主程序运行时激活,可自我复制并传播到其他程序或文件中,造成破坏或信息泄露。 | | 一种能够独立运行并通过网络传播的恶意软件,不需要附着在其他程序上,常用于消耗带宽、破坏系统或传播其他恶意软件。 | | 攻击者在系统中留下的秘密入口,以便日后未经正式授权再次进入系统。有时开发者也会故意设置后门以便维护。 | 拒绝服务攻击 (Denial of Service, DoS) | 通过大量无效请求使目标服务器过载,导致合法用户无法访问服务。分布式拒绝服务攻击(DDoS)则是由多台被控制的计算机同时发起攻击。 | 跨站脚本攻击 (Cross-Site Scripting, XSS) | 攻击者通过在Web页面中插入恶意脚本代码,当用户浏览该页面时,恶意脚本将在用户的浏览器中执行,可能导致敏感信息泄露或会话劫持。 | | 泛指所有设计用来损害计算机系统、收集敏感信息或未经用户同意执行操作的软件,包括病毒、木马、蠕虫等。 | | 指保护硬件设备及其操作系统免受物理损坏、未授权访问和其他安全威胁的技术和策略。 | | 当程序试图向缓冲区写入超出其容量的数据时发生的一种编程错误。攻击者可以利用这种漏洞执行任意代码、篡改数据或导致程序崩溃。 | | 攻击者将恶意代码插入到程序的输入数据中,当程序处理这些输入时,恶意代码被执行。常见的类型有SQL注入、命令注入等。 |
4) 用户自定义IDS规则库编排 设备默认对全部流量进行全量规则匹配,支持用户自定义规则组对特定五元组流量进行筛选检查,提高IDS威胁检测效率,降低设备性能消耗。 5)自动绑定空闲处理单元 开启IDS APP时,优先使用设备空闲处理单元,如无空闲单元则绑定管理单元。
1.3.3.下载安装 应用商店在线安装 注意:1、 需要管理口(MGT)支持访问互联网;2、管理口配置可用的DNS服务器。
1.3.4.离线安装
1.3.5.首次使用 规则库升级 入侵防御APP>>【设置】>>【规则库自动升级】>>【自动同步规则库】>>【启用】
说明:同步成功后显示最后一次同步时间。 绑定IDS处理单元后开启IDS功能 入侵防御APP>>【设置】>>【参数设置】>>【运行CPU核心】>>【2】 入侵防御APP>>【设置】>>【参数设置】>>【入侵防御】>>【开启】
注意:1、 当设备有当前空闲可用核心时,IDS自动运行在空闲核心;2、无空闲核心时复用管理单元0时,设备可能出现WEB页面管理较慢情况。
1.3.6.功能界面 “威胁概况”页面显示当前IDS运行情况 注意:1、IDS处于关闭状态,在“报文统计”中会显示“入侵防御检测关闭”;2、设备可用内存少于1024M时,可能导致IDS App启动失败, “报文统计”中会显示为“内存不足,入侵防御模块无法启动”。
“命中分布”页面用于显示日志的分布情况,分别基于“源ip”、“目的ip”、“规则类型”、“规则名称”、“严重性”进行统计
“检测详情”页面用于显示日志的详细信息,可以基于“时间”、“源IP”、“源IP”、“目的端口”、“目的IP”、“传输协议”、“规则名称”、“规则类型”、“严重性”进行过滤查看 “威胁详情”可以查看该规则的描述信息
1.4. 主动DNS域名解析 1.4.1.应用场景 过往版本中,Panabit需要使用管理口对系统内配置的域名进行解析,存在以下问题: 1)管理口无法访问DNS服务器时,无法解析域名为IP 2)无法指定特定线路实现域名解析; 3)iWAN服务端使用动态公网IP线路时:服务端线路重播(服务端IP变更),iWAN客户端未及时更新服务端IP导致客户端无法上线问题。 1.4.2.解决方案 新增miniDNS模块,解决Panabit内配置域名时无法解析或非预期线路解析问题。
| 名称 | | | floweye minidns add name=域名 proxy=wan线路名称 | | floweye minidns get name=域名 proxy=wan线路名称 | | | | floweye minidns config ttl=xxx |
说明:mini DNS为独立解析模块,不更新域名路由等DNS缓存
1.5. DHCPv6有状态地址分配 1.5.1.应用场景 DHCPv6客户端向DHCPv6服务器发送配置申请报文(申请包括IPv6地址、DNS服务器地址等参数),服务器根据策略返回携带相应配置信息的报文。 解决方案 DHCPv6交互地址分配过程如下: 1)DHCPv6客户端发送Solicit报文,请求DHCPv6服务器为其分配IPv6地址和网络配置参数。 2)DHCPv6服务器回复Advertise报文,通知客户端可以为其分配的地址和网络配置参数。 3)如果DHCPv6客户端接收到多个服务器回复的Advertise报文,则根据Advertise报文中的服务器优先级等参数,选择优先级最高的一台服务器,并向所有的服务器发送Request组播报文,该报文中携带已选择的DHCPv6服务器的DUID。 4)DHCPv6服务器回复Reply报文,确认将地址和网络配置参数分配给客户端使用。 IPV6地址分配相关功能 1.5.2.配置举例 【网络管理】>>【LAN/WAN】>>【LAN线路】中点击已添加的V6 LAN线路: 1) 配置【DHCPv6地址范围】,填写可用的IPV6客户端地址范围即可。 2) 【地址分配】修改为开启状态。 3) 如需指定VLAN分配DHCPv6,在【分配VLAN】中输入指定的VLAN ID。
注意:本文中提到的所有IPv6相关的功能,均需IPV6识别功能为开启状态。 开启方式为【应用识别】>>【引擎参数】>>【参数设置】>>【IPv6流量识别】
二、 功能优化 2.1. SLAAC支持多VLAN同时下发IPv6地址 应用场景 客户存在多个内网VLAN需要使用SLAAC地址分配IPV6地址时,之前版本需要每个内网VLAN创建一个LAN口,当内网VLAN比较多时需要创建较多LAN接口,配置较为繁琐。 解决方案 优化SLAAC主动发送RA报文的机制。如果无状态地分配(【WAN线路】>>外网线路)中配置一段VLAN范围,Panabit将对配置的所有内网VLAN的都发送一次RA报文。
2.2. DHCPv4WAN线路支持Option 应用场景 IPoE接入业务是一种接入认证业务,通常利用DHCP+OPTION扩展字段方式作为终端鉴权使用,也被称为DHCP+认证。 解决方案 DHCP v4类型WAN线路支持Option12、Option61、Option60选项
说明:1、 获取IPOE认证数据方式:Panabit网桥部署在光猫与机顶盒之间,利用网卡抓包方式获取DHCP报文;2、 查看DHCP request报文中的对应Option字段。
2.3. 支持配置IPv4本地链路地址 应用场景 某运营商客户设备,需要在LAN/WAN添加169.254.1.1的IP地址,添加该地址时Panabit提示错误IP。 地址段定义与用途 根据RFC3927定义,169.254.0.0/16地址段被定义为本地链路地址(Link-local address),用于在没有DHCP服务器或DHCP获取失败时,主机自动配置IP地址进行本地通信‌。 解决方案 【网络设置】>>【LAN/WAN】>>支持配置169.254.0.0的IP地址 2.4. 微信认证流程优化 客户场景 Panabit网桥模式部署时微信认证无法正常使用 解决方案 在webauth功能中增加noack选项,当noack=1时,panaos不对80端口的TCP握手报文应答,而是放行TCP握手的报文,让目标服务器进行应答。 说明:Panabit网桥部署微信认证时,需要开启noack选项,floweye webauth config noack=1
2.5. 优化端口映射配置导入 客户场景 在某IDC场景中,用户需要一次性导入10万条端口映射配置,导入端口映射策略时超时失败。 解决方案 针对端口映射策略导入逻辑进行优化: 1) 支持文件方式导入端口映射配置; 2) 支持端口映射导入失败时配置自动回滚:当加载导入映射配置出现错误时,自动回滚至原配置。
2.6. 共享限速模块优化 客户场景 某高校项目网络分为办公及宿舍区,师生在办公区上网时提供上网计费策略(20M带宽、免费),宿舍区为计费策略(200M带宽、收费)。为客户使用便利性,同一账号支持3个终端登录。 可能存在账号同时在办公区及宿舍区在线的情况,需要Panabit根据用户IP地址+计费组+用户账号为条件创建不同计费属性的限速策略。 解决方案 Panabit接收认证系统计费报文后,将用户IP地址+计费组信息+账号信息进行关联,实现不同计费属性的单用户差异限速策略。 Panabit接收到计费组信息后,在【在线用户】的【账号备注】显示信息为“账号@classid”。
2.7. 代拨地址池,内层QINQ支持VLAN范围 客户场景 客户某运营商代拨项目要求PPPoe客户端接入时需携带QinQ双层VLAN,创建代拨线路时外层标签为固定值,内层VLAN在特定范围(800-4000)随机使用。 解决方案 1) 代拨地址VLAN选项支持10/100-1000(内层VLAN区间为800-4000)格式 2) 当内层VLAN配置为VLAN区间时,Panabit代拨在选择内层VLAN时会根据账号选择区间内的某个VLAN TAG, 3) 为了确保内网VLAN与账号的一致性,相同代拨账号将固定绑定到相同内层VLAN。
2.8. DNAT功能优化 客户场景 某互联网数据中心客户使用Panabit作为网络集中调度设备,为满足溯源要求,需Panabit配置DNAT时仅对目的IP地址进行修改,保持源IP地址不变。 解决方案 【策略路由】>>【DNAT】>>新增“不改变源地址”参数。
2.9. 优化域名群组匹配算法 应用场景 客户使用Panabit域名路由时,需要配置单个域名群组内导入10万+条域名,出现以下问题: - 导入域名条目较多时可能出现超时无法导入问题
- 精确匹配后缀域名时需要重复添加两次后缀
解决方案 解决方案 1、域名群组匹配为后缀匹配原则 域名群组标识符 | 示例 | | | | | .panabit.com时匹配pa.panabit.com、pb.panabit.com等 | | | panbit.com时匹配apanabit.com、bpanabit.com等 | | | ^pa.panabit.com时精确匹配pa.panabit.com,pb.panabit.com则不能匹配 | | | 效果等同于^panabit.com"与".panabit.com" |
2.10. 连接信息支持按照IPv6前缀查询 应用场景 某客户校园网使用Panabit对接IPv6用户认证设备,认证系统在认证报文中仅同步用户v6前缀地址。导致在Panabit【TOP用户】中无法直接查看当前v6地址对应网络连接。 解决方案 【TOP用户】>>【连接信息】页面中的 IP 选项框支持IPv6地址前缀模糊搜索。
2.11. 用户地址池支持IPV6 应用场景 某高校客户根据需要在TOP用户内实现基于IPV6地址前缀关联用户组属性 解决方案 Panabit用户组属性中新增:IPv6地址字段 在【对象管理】>>【账号管理】>>【组织架构】>>【添加用户组】>>【IPV6地址】支持配置IPv6前缀地址、前缀长度
2.12. 携带IPv6本地链路地址时用户无感知上线失败 客户场景 客户网络为IPv4环境,用户终端默认启用IPv6,终端自动生成fe80本地链路地址,当使用IPv6本地链路地址认证时无感知上线失败,使用IPv4地址时正常上线。 解决方案 Panabit创建内网IP对象忽略IPv6本地链路地址
2.13. iWAN和L2TP客户端的域名解析优化 客户场景 iWAN客户端和L2TP客户端的服务器地址支持配置为域名,当前版本Panabit域名解析需要利用管理口对域名进行解析,存在以下问题: 1)如果管理口无法访问DNS服务器时,无法完成域名解析; 2)无法指定特定线路实现域名解析; 3)服务端使用动态公网IP线路时:服务端线路重播(服务端IP变更),iWAN客户端使用原IP拨号导致iWAN无法上线问题。 解决方案 iWAN客户端和L2TP客户端内配置的域名由当前承载线路进行解析。
2.14.单个SSID最大接入终端数支持254个 单个SSID最大STA数由127提升至254。
2.15. 流媒体支持高码流超清频道 客户场景 随着对视频清晰度要求的提升,当前视频码流存在多种规格(标清4M、高清8M、超清12M),播放超清频道时可能存在马赛克、花屏、卡顿问题。 解决方案 为满足客户对超清视频节目的需求,适配不同码率的视频。新增IPTV_BITRATE 参数默认参数为1024(表示8Mbps码率)。 默认为8M码率时,配置单个输入频道占用Panabit设备16M内存。 配置码流为16M时,配置单个输入频道将占用Panabit设备32M内存。
注意:内存消耗超出可用内存时可能导致PanaOS系统无法启动。
三. 界面优化 3.1. 支持Panabit系统日志导出 检索特定周期日志后点击导出按钮,可以导出特定日期内Panabit生成的系统日志。
3.2. 新增WEB应急恢复页面 应用场景 为满足行业标准规范及提升设备安全性,升级Panabit系统后会自动关闭SSH功能,导致极端情况下的设备维护难以远程维护。 解决方案 当WEB管理界面加载失败时自动打开WEB应急恢复页面,利用应急恢复页面开启SSH进行Panabit设备维护。 说明:Panabit为转发、管理双平面架构,WEB管理页面打开失败不影响业务数据转发。
3.3. LAN/WAN接口导出优化 应用场景 Panabit设备最大支持4000+条WAN/LAN线路,当出现较多线路中断时,运维人员无法快速导出中断线路。 解决方案 为解决运维便利性问题,在Panabit LAN/WAN 菜单支持导出当前筛选条件的线路。
3.4. MAC重复绑定提示 应用场景 用户设置对MAC对IP进行绑定时,相同MAC绑定多个IP不能提示“MAC 已绑定”。 解决方案 新增MAC地址如在【行为管理】>>【IP/MAC绑定】>【已绑定MAC】中存在时,提示“MAC已绑定,是否继续添加”
3.5. 批量账号导入异常 应用场景 在【账号管理】>>【本地账号】批量添加本地账号时,可能导致身份信息字段丢失。 解决方案 问题已修复。
3.6. 删除重复引用IP群组时无提示 应用场景 如果某IP群组中被引用多次引用,【对象管理】>>【IP群组】中删除此群组无提示“已引用策略删除操作确认” 解决方案 问题已修复。
四.BUG修复 | 序号 | | | | | 告警模块将对“AuthTimeout” 事件不做告警 | | | | | | | | | | | | 配置多个白名单对象,重启panaos,只有id为1的白名单对象会被保存,其余均丢失 | | | 在BSD版本中,ipobj list中的会话连接数和get ip中的数量不一致 | | | | | | | | | | | | | | | | | | | | | | | | |
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 2024-12-27 15:11:37
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2024-12-28 17:53:42
ax100不支持