|
一、新增功能 1.1、HTTP管控日志 1、HTTP管控 Panabit的HTTP管控功能基于HTTP的请求和响应工作模式,当用户在其终端设备上输入网址并发送请求之后,当请求经过Panabit时,Panabit可基于源地址、源端口、目标地址、目标端口、源接口、请求文件类型、访问域名等条件,进行允许访问、阻断访问、TCP重置、URL跳转等管控措施。功能页面位于【行为管理】>【HTTP管控】>【策略管理】。
2、HTTP管控日志 Panalog大数据日志审计系统对网络流量的信息进行日志留存,实现网络用户行为审计、网络流量大数据分析等服务。 相较过往版本,Panabit新增HTTP管控日志,将HTTP管控策略匹配命中执行管控措施的日志信息发送给Panalog。其中,信息包括:MAC地址、源IP、源端口、目标IP、目标端口、访问域名、执行动作、新域名(如果为跳转)。 配置方法: 1. 在【行为管理】>>【HTTP管控】>>【策略管理】>>【添加策略组】>>【添加策略】添加管控策略时,选中【发送命中日志】 2.【系统维护】>>【日志对接】>>【其它事件】>>【编辑】日志服务器信息。
1.2、SNMP新增OID WAN线路 Panabit设备专有OID新增提供WAN线路名称和WAN线路连接数。 | OID | | | | | | | | 返回值类型INTEGER,其中x为第x条WAN线路 |
二、功能优化 2.1、WAN线路健康检测 1、WAN线路健康检测 在配置WAN线路时,可以通过可选的心跳服务器配置来实现WAN线路的健康检测,以便于在对用户流量进行策略路由时实现用户流量的自动选路。Panabit通过使用WAN线路对心跳服务器主动发送ICMP报文的方式判断线路是否健康。当线路判断为不健康时,对应的策略路由自动失效。而当线路重新恢复健康时,对应的策略路由将自动恢复。
2、基于时延的健康检查 过往版本中,WAN线路的健康状态由ICMP报文的丢包情况进行判断。即只有当心跳服务器未回应ICMP请求报文时,才认为线路已经处于不可用状态。 对于典型如SD-WAN组网等对传输质量要求高的场景中,需要根据节点或者探测目标地址的时延进行动态调整选路。因此,优化WAN线路健康检查,增加时延判断选项,当时延超过配置时,即认为线路处于不健康状态,及时进行策略路由调整。 配置方法: 【网络设置】>【LAN/WAN】>【WAN线路】>【添加/编辑WAN线路】>【最大时延】。 其中,最大时延单位为毫秒(ms)。配置后,开始检查心跳服务器IP,如果连续N(默认为5)次心跳超时或时延超过最大值,则认定为线路不健康。 【说明:连续判断次数N(默认为5)可使用如下命令进行修改】 | 配置命令 | | floweye nat config natproxy_xpwatchdog=N | |
2.2、WEB认证 1、默认放行OSPF流量 Panabit通常会使用网桥模式串接在核心与出口之间,如果核心和出口之间使用了OSPF协议,那么在开启WEB认证功能后,OSPF协议会被阻断,导致网络异常。因此优化WEB认证模块,默认放行OSPF流量。
2、AAA状态检测 在WEB认证场景下,通常会配合Radius服务部署。当Radius服务异常时,则会导致WEB认证失败。为便于故障排查,以及基于Panabit NFV开放平台的认证相关的APP自定义认证策略,增加AAA状态检测。将AAA工作状态能通过Panabit设备进行输出查看。
2.3、MAC认证 应用场景: 为实现用户使用WEB认证时的二次认证无感知上线,用户上线时,Panabit作为BRAS会自动开始MAC认证。当Panabit位于三层交换机之上时,则需使用SNMP获取用户的真实MAC,才能对用户使用MAC认证。 默认情况下,获取用户真实MAC期间,将放行用户流量,避免用户感知到网络不可用带来不好的用户体验。而可能引起,在此期间,用户终端设备已经完成连接网络是否可用的检测,导致用户终端设备不会马上弹出认证Portal页面。而需要等待一段时间才会弹出认证Portal。 因此,优化MAC认证,增加drop_tcp参数。当参数为1时,用户在MAC认证状态期间,丢弃所有的TCP数据包,以及时触发用户终端设备的Portal页面弹出。
| 配置命令 | | floweye macauth config drop_tcp=1|0 | 默认值0 0:IP在MAC认证状态期间,放行所有数据包 1:丢弃所有TCP数据包。 |
【注意:通过大量不同类型终端测试数据统一分析整理,当设置为1后,建议认证过程不超过15秒】
2.4、流量控制 流量控制策略可以创建多个策略组,策略组中的参数可以选择“停止”(即流量不再匹配后面的策略组),也可以选择“继续”(即流量还会匹配后面的策略组)。 在过往版本中,某个数据包在第一个策略组中没有匹配到任何策略,并且策略组配置的是“停止”时,此数据包将不再继续匹配后续策略组。优化策略组的匹配逻辑,当流量在策略组中没有匹配任何策略时,继续匹配下一个策略组。
2.5、PPPoE代拨 随着IPv6的加速发展,运营商在越来越多的PPPoE场景下给用户分配IPv6地址,其中也包括PPPoE代拨场景。因此,优化PPPoE代拨,增加IPv6地址的获取和呈现,为代拨全面支持IPv6迈出第一步。 配置方法: 【应用识别】>【引擎参数】>开启【IPv6流量识别】 【宽带接入】>【PPPoE代拨】>【参数设置】>【IPv6】选项置为【启用】。
2.6、端口映射 1、源IP访问 为只允许指定IP访问映射的内部服务器,在【网络设置】>【端口映射】>【添加】端口映射策略时,新增【源IP】条件,只允许指定的IP进行端口映射的访问。
2、策略ID 在过往版本中,映射策略的序号为Panabit系统自动分配,当系统重启后,相同规则的序号可能发生变化,导致在大规模部署运维或自动化运维时复杂度的上升。因此,优化增加策略ID,序号为映射策略添加时可配置的策略ID,以此,既能明确映射策略对应的序号,又可调整映射访问的匹配顺序。
3、支持多内网端口 当内网某服务器使用不同的端口提供多种服务时,过往版本由于不能配置多个端口而无法实现,因此,优化允许服务器对象的端口配置为0,当服务器端口配置为0时,表示允许所有的端口接入请求,映射后的目标端口为原始请求的目标端口,即目标端口不变。同时,当服务器端口为0时,选择使用的TCP心跳健康检查方式自动变为ICMP方式心跳。
2.7、DHCPv6 PD 1、DHCPv6 PD前缀代理 DHCPv6 前缀代理机制,Panabit不需要再手工指定LAN线路用户侧链路的 IPv6 地址前缀,只需要向WAN线路侧设备提出前缀分配请求,WAN线路侧设备便可以分配合适的地址前缀给LAN线路用户设备。Panabit将获得的前缀(同时也可以将前缀进行进一步的细分)再通过SLAAC(无状态分配)中ICMPv6 的 RA 路由通告至与IPv6用户主机相连的LAN线路上,实现用户侧IPv6主机的地址自动分配。 Panabit使用前缀代理功能之后,在LAN线路进行SLAAC分配时,无需配置LAN线路的网络前缀,将会使用代理委派的WAN线路上获取到的网络前缀进行SLAAC分配。 2、WAN多LAN支持 过往版本中,一条WAN线路只允许委派给一条LAN线路,随着IPv6的普及,优化前缀代理,可将一条WAN线路委派给多条LAN线路,同时,新增【子网前缀】和【子网前缀长度】选项,当DHCPv6 PD获取的前缀小于64时,支持将前缀拆分为多个子网,实现同一条WAN线路代理委派到不同LAN线路时,可分配不同网段的IPv6地址。 配置方法: 【网络设置】>【LAN/WAN】>【LAN接口】>【无状态分配】>【委派选路】选择前缀代理的IPv6 WAN线路,【子网前缀】以运营商分配的前缀长度是56为例,将这个前缀拆分成N个64位前缀。则,前56位全填0,57-64位根据设计网段填写。 提交后状态如下: 不同LAN接口委派不同网段
2.8、VRRP主动监测 VRRP主动监测,通过监控物理接口和逻辑线路的状态变化,以此来提升或者降低VRRP线路的抢占优先级,从而实现主机VRRP状态在master和backup之间的切换。 在过往版本中,当监测到状态变为down时,降低所有VRRP线路的抢占优先级为1;当监测到状态变为up时,优先级设置为255。由于255不参与选举,导致主机状态持续为master。因此,优化为当监测到状态变为up时,优先级设置为254。 【注意:建议主动监测功能只在master主机使用】
2.9、iWAN iWAN是Panabit自研基于UDP协议的高速高性能SD-WAN隧道协议,而在IPv4 UDP协议规范中,checksum(校验和)为可选项,因此,可能引起不同网络设备对于未计算校验和的UDP报文有不同的处理方式。部分网络设备可能会丢弃校验和为0(即未计算校验和)的UDP报文。因此,增加如下配置选项,避免iWAN服务出现异常。 | 配置命令 | | floweye nat config iwancksum_enable=1|0, | 0为默认值,表示不计算checksum。1表示开启计算iWAN业务报文的checksum。 |
三、界面优化 3.1、升级条件调整 授权状态下检查升级包版本时间是否在授权许可时间范围内,若在即可升级。因此,对于授权过期的Panabit设备可升级授权时间范围内的过往版本。
3.2、自动更新检查 可针对系统版本、特征库、APP自定义是否自动检查、自动升级新版本
3.3、WAN线路汇总统计 在典型如多条WAN线路由同一运营商分配地址使用,当需要统计多条WAN线路的总流量趋势时,可使用新增的WAN线路汇总统计功能。 使用方法: 【网络设置】>【LAN/WAN】>【WAN线路】勾选需要汇总的WAN线路,点击【批量操作】>【汇总】
3.4、系统检测一键展开 支持一键展开和关闭所有检测结果
3.5、在线用户趋势统计 去除共享用户统计,增加IPv6用户统计趋势
3.6、连接信息新增五元组 【IP档案】>>【连接信息】新增5元组的平行坐标图,用于观察IPv4会话的5元组趋势。
3.7、菜单调整 去除【系统概况】>【网卡设置】菜单,只保留【网络设置】>【网卡设置】 调整【对象管理】菜单到【威胁情报】和【应用识别】之间
四、BUG修复 | 一级分类 | | | | | | | 解决在线用户通过城市热点接口对接得到账号和用户组后,没能关联到用户组的上行和下行限速的问题 | | 解决在线用户对MAC进行排序,MAC第一位相同或者前两位相同时没有依次往下或者往上排列的问题 | | 解决在线用户通过城市热点接口对接时,没有关联IPV6用户的用户组信息的问题。 | | | | 解决使用Radius认证方式,没有发起Radius认证的问题。 | | | | 解决操作绑定AP时,对apid为0的AP,显示异常的问题。 | | | | | | | 解决在开启服务端回流的情况下,iWAN客户端访问iWAN服务端映射的WAN线路IP,可能导致访问失败的问题。 | | | | 解决在流控策略点击IP群组的弹窗中删除IP群组成员,删除成功后,没有正常显示该IP群组剩余成员的问题。 | | | | |
五、应用识别 5.1、新增应用 5.2、更新应用
六、下载地址
标准版:
FreeBSD:
PanabitFREE_TANGr6p2_20240801_FreeBSD9.tar.gz
(4.79 MB, 下载次数: 128)
Linux:
PanabitFREE_TANGr6p2_20240801_Linux3.tar.gz
(5.19 MB, 下载次数: 94)
网吧版:
FreeBSD:
PanabitWB_TANGr6p2_20240801_FreeBSD9.tar.gz
(4.94 MB, 下载次数: 47)
Linux:
PanabitWB_TANGr6p2_20240801_Linux3.tar.gz
(5.44 MB, 下载次数: 45)
ARM:
PanabitWB_TANGr6p2_20240801_arm64.tar.gz
(5.2 MB, 下载次数: 29)
SMB版:
FreeBSD:
PanabitSMB_TANGr6p2_20240801_FreeBSD9.tar.gz
(4.91 MB, 下载次数: 29)
Linux:
PanabitSMB_TANGr6p2_20240801_Linux3.tar.gz
(5.33 MB, 下载次数: 27)
专业版:
FreeBSD:
PanabitOEM_TANGr6p2_20240801_FreeBSD9.tar.gz
(5.03 MB, 下载次数: 111)
Linux:
PanabitOEM_TANGr6p2_20240801_Linux3.tar.gz
(5.74 MB, 下载次数: 120)
ARM:
PanabitOEM_TANGr6p2_20240801_arm64.tar.gz
(5.22 MB, 下载次数: 64)
流媒体版:
Linux:
PanabitMGW_TANGr6p2_20240801_Linux3.tar.gz
(5.68 MB, 下载次数: 30)
ARM:
PanabitMGW_TANGr6p2_20240801_arm64.tar.gz
(5.26 MB, 下载次数: 26)
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 2024-7-30 16:35:29
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡