|
一.新增功能 1.1 BFD检测(并支持V6) Panabit TANG r7p5新增BFD检测功能,核心在于通过更轻量高效的检测机制和深度的网络可视化融合,更灵活地适配场景。不仅解决了传统网络故障检测中响应慢、精度低、运维复杂的痛点,还通过整合网络管理能力,为客户提供了更友好的网络可靠性保障方案。 BFD是BidirectionalForwarding Detection的缩写,是一种双向转发检测机制,可以提供毫秒级、对链路的快速检测,通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。BFD不依赖特定路由协议,可适配IPv4、IPv6、MPLS等多种网络环境。 1.客户场景 BFD可基于IP地址建立检测会话,尤其在大规模部署的骨干网、数据中心等场景中,成为保障业务连续性的核心机制。 运营商骨干网中,路由器间通过OSPFv3、BGP4+等IPv6路由协议互联。传统路由协议的故障检测依赖自身Hello机制(通常秒级),而BFD可将检测时间压缩至10ms级,确保链路中断后路由快速收敛。 例如某省运营商IPv6骨干网中,核心路由器间部署BFD for IPv6,当光纤中断时,BFD在50ms内检测到故障,触发BGP4+快速切换至备用链路,避免视频会议、云服务中断。 在IPv4向IPv6过渡阶段,常通过隧道(如6to4、GREv6)实现IPv6报文传输。隧道两端的设备需实时感知隧道状态,BFD for IPv6可在隧道内建立会话,直接检测IPv6业务流的可达性,比检测隧道本身更精准。 例如某跨国企业通过GREv6隧道传输IPv6业务,BFD在隧道内周期性发送检测报文,若隧道因IPv4链路拥塞导致丢包,BFD会立即通知设备切换至备用隧道。 数据中心IPv6设备集群中,接入交换机与核心交换机通过RIPng、OSPFv3等IPv6路由协议互联。IPv6环境可能存在瞬时抖动(如链路拥塞导致的报文延迟),传统检测机制(如ICMPv6ping)易因单次丢包误判故障,而BFD凭借其轻量化探测机制,且不受路由协议状态影响,可在链路出现丢包、错包等细微异常时就快速响应。 例如某国家级超算中心,计算节点交换机与存储节点交换机间部署了BFD for IPv6,当连接存储阵列的光纤因外部干扰出现瞬时信号衰减时,BFD在8ms内就捕捉到链路质量劣化,立即触发路由协议切换至冗余链路,不仅避免了大规模并行计算任务的数据传输中断,更防止了因数据不一致导致的计算结果错误。 客户使用Panabit作核心管控设备,现因业务增长等因素,需求对接其他设备时实现BFD检测并支持IPv6。 2.解决方案 实现BFD快速故障检测的核心机制在于检测模式,不同模式适用于不同的网络场景和设备能力。 传统的线路故障检测模式主要为“HELLO”机制,例如OSPF(开放式最短路径优先,一种基于链路状态的内部网关协议),它通过计算最短路径来实现高效的数据包转发,是目前企业网、运营商网络中广泛使用的路由协议之一。所有设备连接选举的指定路由器(DR)和备用指定路由器(BDR)建立邻里关系,互相发送“HELLO”报文进行信息交换,从而通过路由建立状态库同步设备信息,根据反馈发现线路问题。 但是“HELLO”机制回响时间为10s,遇到拓扑复杂的网络构造时间会更长,在对网络具有高性能要求的情况下显然无法满足要求。Panabit TANG r7p5优化检测模式,使用BFD检测机制,可将链路故障发现时间最低缩短在10ms内然后快速将路由收敛到备用线路。 根据BFD会话建立的方式主要分为异步模式和查询模式,可灵活选择来平衡检测速度与设备资源消耗。异步模式为两端设备周期性主动发送BFD控制报文,无需等待对方请求;若在检测时间内未收到对端报文,则判定为故障。查询模式为一端(主动方)周期性发送查询报文,另一端(被动方)仅在收到查询时才回复;主动方若未收到回复则判定故障。 Panabit使用被动检测模式(PassiveMode),是查询模式中的一种典型应用,其核心特点是被动方不主动发起BFD会话,仅在收到主动方的查询报文后才响应,以此减少Panabit的资源消耗。通过“主动方驱动、被动方响应”的交互逻辑,在保证故障检测能力的同时,最大限度保证Panabit的性能。以下是Panabit检测模式过程: 3.配置方法 【应用商店】>【动态路由】>【BFD】,可对BFD进行配置:
BFD检测相关参数:
| 名称 | | | | floweye bfd config enable=1 myid=888 | |
1.2 LAN/WAN响应Tracert路由跟踪 Panabit TANG r7p5新增被动Tracert功能,核心在于通过支持对ICMP报文的响应机制,结合网络路径追踪能力,更精准地适配复杂组网场景下的故障定位需求。解决了传统网络诊断中权限受限、路径追踪不完整、故障定位慢等问题,增强了运维保障。 Tracert是Trace Route的缩写,是一种网络诊断工具,通过发送包含递增TTL(生存时间)值的探测报文,追踪数据包从源设备到目标设备的传输路径,记录每一跳节点的IP地址和响应时间,从而快速定位网络中的延迟、丢包或中断节点。Tracert不依赖特定网络协议,可适配IPv4、IPv6、SD-WAN等多种网络环境,通过主动发起或被动响应的方式,为网络运维提供关键诊断依据。 1.客户场景 被动Tracert可基于ICMP报文实现对探测请求的响应,尤其在权限受限的多线路接入、SD-WAN组网、终端设备集群等场景中,成为提升故障排查效率的核心工具。 银行通过多条运营商线路实现互联网接入,运维团队通常无运营商设备管理权限,传统故障排查依赖主动Tracert(从终端发起探测),但受限于运营商网络的访问控制,常出现路径信息不完整等问题,导致故障定位耗时过长。 例如某城商行,核心业务系统通过两条运营商线路接入互联网。某次突发业务中断时,运维团队通过被动Tracert功能,发现到运营商核心节点的某一跳响应超时,10分钟内确认是运营商主线路故障,迅速切换至备用线路,避免了柜面交易和线上业务的大面积中断。 银行在全国分支与总部的SD-WAN组网中,分支终端与总部服务器通过加密隧道IPsec传输数据。传统主动Tracert从分支终端发起时,因隧道封装导致探测报文无法穿透,无法获取隧道内的节点信息,难以分析路径延迟或丢包的具体位置。被动Tracert启用后,可解析隧道内的探测请求,返回隧道内每一跳节点的响应时间,帮助运维团队直观判断延迟是否来自隧道本身或分支/总部的本地网络。 例如某全国性银行的省级分行,通过SD-WAN隧道与总行数据中心互联,近期分支财务系统上传数据频繁卡顿,被动Tracert显示隧道内某中转节点的响应时间从正常的20ms骤增至300ms,排查发现该节点因带宽拥塞导致排队,调整隧道路径后,卡顿问题立即解决。 银行内部终端需与核心服务器(如账务系统、用户数据库)保持稳定连接,传统诊断工具仅能判断终端与服务器的连接情况,无法定位中间节点的异常。若终端出现间歇性断连,运维团队需逐设备排查,效率极低。被动Tracert支持追踪终端到核心服务器的完整路径,快速锁定异常节点。 例如某支行的ATM机频繁出现交易中断,被动Tracert显示ATM到接入交换机的响应正常,但接入交换机到汇聚路由器的某一跳存在周期性丢包,进一步排查发现该路由器端口因硬件老化导致转发异常,更换端口后,ATM交易恢复稳定。 客户大批量采购Panabit用于运营商线路与4/5G卡的互联网接入与SD-WAN组网,而当地的运维团队没有所有设备的管理权限,只能通过Panabit执行简单的终端命令行去排查网络问题。需求通过Panabit能判断线路状态完成故障排查与运维。 2.解决方案 实现高效网络诊断的核心在于Tracert的响应机制,被动模式相比传统主动模式,更适配权限受限、组网复杂的场景。 传统的主动Tracert机制依赖终端设备发起探测,需要终端具备发送ICMP报文的权限,且在复杂网络中常因报文被屏蔽或无法穿透,导致路径信息缺失,故障定位往往需要数小时甚至更长时间。 Panabit TANG r7p5新增被动Tracert功能,支持对ICMP探测报文的响应,无需终端额外权限。作为本地核心管控设备,Panabit可接收并解析来自终端的 Tracert请求,返回包含自身及后续节点的完整路径信息;结合网络可视化能力,将每一跳的响应时间、丢包率等数据直观呈现,帮助运维团队快速区分本地网络故障、线路故障或目标设备故障;还可将故障定位时间从传统的小时级压缩至分钟级,显著提升网络的运维效率与业务连续性保障能力。 3.配置方法 执行命令:floweye iptrace config enable=1
1.3 新增Cloud和Docker版本安装支持 Panabit TANG r7p5新增Cloud和Docker版本安装支持,核心在于通过适配云环境与容器化架构,结合轻量化部署与跨平台兼容能力,更灵活地满足不同规模企业的部署需求。不仅解决了传统物理机安装中硬件依赖强、部署周期长、扩展困难的痛点,还通过标准化部署流程,为客户提供更高效的网络管理工具交付方案。 Cloud版本安装支持指Panabit可直接部署于公有云(如AWS、阿里云、腾讯云)、私有云(如OpenStack、VMware、vSphere)等云环境,以虚拟机或云实例形式运行;Docker版本则通过容器化封装,实现基于Docker引擎的快速部署,支持在Linux、Windows Server等操作系统的Docker环境中运行。两者均保留Panabit核心功能,且部署过程无需依赖特定硬件配置,可随业务需求弹性扩展。 1.客户场景 Cloud和Docker版本安装支持可适配云原生架构、分布式办公、快速迭代测试等场景,成为简化部署流程、提升资源利用率的关键方案。 采用云原生架构的企业,核心业务系统均部署于公有云或混合云环境,网络管理工具需与云环境深度融合,避免传统物理机部署导致的云和本地管理割裂。传统物理机安装需采购专用服务器、配置硬件参数,部署周期通常需1~2天,且难以随云资源弹性伸缩。Cloud版本可直接在云平台控制台通过镜像一键部署, 例如某电商企业在阿里云部署Cloud版,从实例创建到完成配置仅需30分钟,且可通过云平台的自动扩缩容功能,在流量激增时临时提升云计算资源,确保流量统计、故障检测功能稳定运行。 连锁企业在全国拥有数十家分支机构,需通过统一的网络管理工具监控各分支网络状态,但分支机构硬件配置差异大,传统安装包需针对不同硬件编译适配版本,运维成本高。Docker版本通过容器镜像封装,运维团队只需在各分支设备上安装Docker引擎并通过统一镜像快速部署。 例如某连锁酒店集团,通过Docker Hub分发镜像,各门店技术人员执行简单命令即可完成部署,部署一致性达100%,避免因硬件差异导致的功能异常,且总部可通过Docker Compose统一管理各分支容器,实现配置同步与版本升级。 客户需求为能快速同步Panabit配置与环境在私有服务器上。 2.解决方案 实现跨环境灵活部署的核心在于标准化封装与云原生适配,Cloud和Docker版本通过优化部署流程与资源调度,满足多样化场景需求。 传统的Panabit安装依赖物理硬件,需经历硬件采购——系统安装——驱动配置——软件部署全流程,且硬件故障会直接导致服务中断,扩展时需手动新增设备并重新配置,难以应对动态变化的业务需求。Panabit TANG r7p5新增Cloud和Docker版本安装支持,优化部署机制: 基于云平台镜像服务,预封装操作系统、依赖组件与Panabit程序,支持按实例规格(CPU、内存、存储)灵活选择,适配AWS、阿里云、腾讯云等主流云平台和QEMU、Apache等私有云,且支持与云监控、云日志服务集成,实现管理数据的云端聚合; 通过多阶段构建精简镜像体积,支持在x86、ARM等架构的Docker引擎运行,内置健康检查机制,容器异常时自动重启,且可通过Docker Volume持久化配置数据,避免容器重建导致的配置丢失。 通过新增Cloud和Docker版本安装支持,Panabit可无缝融入企业现有IT架构,缩短部署周期、提升资源利用率,为云时代的网络管理提供更灵活的交付方式。
Cloud和Docker版本安装相关参数: | 名称 | | | | | 若未检测到云环境则在/etc/PG.conf里增加 | | | |
1.4 支持IP对流量统计 Panabit TANG r7p5新增IP对统计功能,核心在于通过精准定位业务流量的源目IP组合,结合多维度统计维度与平台适配能力,更高效地满足业务流量通道的Top流量分析需求。不仅解决了传统流量统计中业务关联性弱、统计维度单一的痛点,还通过优化统计对象容量,为客户提供更精细化的网络流量管理方案。 IP对统计是针对网络中特定业务的源IP与目的IP组合进行流量统计的机制,可精准记录出入口的流量大小、速率、占比等关键指标,通过与业务通道关联,直观呈现各业务的流量排名。IP对统计不依赖特定网络环境,可适配不同平台(ARM Linux、FreeBSD、X86 Linux),并支持与IP地址、协议、端口等统计条件联动分析。 1.客户场景 企业内部同时运行OA系统、视频会议、云盘同步等多种业务,不同业务通过独立的流量通道传输。传统流量统计仅能按IP段或端口汇总流量,无法区分同一IP段内不同业务的流量占比,难以判断哪些业务占用过多带宽。IP对统计可精准锁定各业务的源目IP组合,例如单独统计OA系统的IP对、视频会议的IP对的流量,快速定位Top流量业务。 例如某制造业企业,生产车间的MES系统与总部ERP系统通过专用通道通信,近期频繁出现数据传输延迟,IP对统计显示MES服务器与ERP服务器的流量占比达总带宽的70%,远超正常阈值,排查发现是某台设备异常发送大量冗余数据,关闭异常进程后,通道恢复通畅。 企业采用混合云架构,部分业务部署在私有云,部分部署在公有云,跨云业务的流量通道需要严格监控流量负载。传统统计方式难以关联跨域的源目IP,无法准确判断某条跨云通道是否过载。IP对统计可直接统计私有云与公有云的IP对的实时流量,帮助管理员识别Top流量的跨云通道。 例如某互联网企业,私有云的用户数据库需向公有云的APP服务器同步用户数据,IP对统计显示该通道在每日18点流量峰值达1Gbps,超过通道带宽上限,通过调整同步时间避开高峰后,数据同步成功率从85%提升至100%。 客户需求针对每个业务的流量通道统计top流量。 2.解决方案 Panabit的流量统计功能可以对网络中的业务流量情况进行统计和分析,可以根据IP地址、Panabit特征库协议、端口、MAC地址等条件对数据流量进行统计,有助于为管理人员对网络的优化改进提供数据参考,提高网络质量。 新版本在流量统计对象里新增IP对统计,用于统计指定业务的出入口流量,以满足客户需求。目前系统最大支持的IP对统计对象(针对所有流量统计对象)在ARM Linux和FreeBSD平台下是80K,X86Linux平台下是128K。 3.配置方法 【行为管理】>【流量统计】>【添加】,进行添加流量统计对象: 【行为管理】>【流量控制】>【添加策略组】: 再【添加策略】,可以根据内/外网地址、协议、源接口等条件进行流量统计: 【行为管理】>【流量控制】,点击统计对象,弹出详细信息: 【行为管理】>【流量统计】,点击统计对象的信息,弹出统计详细信息: 统计对象的信息共分为三类,分别为:在线IP、在线IP对、趋势图。 - 在线IP:展示命中相关流量控制策略数据,以内网IP的方式展示上下行速率。
- 在线IP对:基于命中相关流控策略的流量,以源/目IP的方式展示上下行速率。
- 趋势图:基于命中相关流控策略的流量,展示整体的上下行速率。
IP对流量统计相关参数: | 名称 | | | | floweye bootenv set name=IPPAIR_POOLSZ val=N | 目前系统最大支持的IP对统计对象(针对所有流量统计对象)有数量限制,若使用发现不足,可通过更改环境变量IPPAIR_POOLSZ,设置后需要重启PANAOS才生效。 | | floweye ntmip ippairlist soid=N json=0|1 | N为统计对象的ID,json表示是否用json格式输出,其中: 1)src和dst分别为IP对的源地址和目标地址; 2)bps_src和bps_dst分别为src->dst和dst->src方向的流量速率; 3)soid为统计对象ID | | |
|
二、功能优化 2.1 5G双域网优化 1.客户场景 在数字化浪潮中,5G技术的普及为各行业带来了新的发展机遇,其中5G双域专网凭借其“不换卡、不换号、无感知切换”的特性,成为众多企业和校园提升网络体验的首选方案。然而,某运营商客户在为学校部署5G双域专网后,却遭遇了CDN域名分流的棘手问题,导致部分互联网业务无法正常访问,严重影响了学生的网络使用体验。 5G双域专网的核心优势在于学生可以在校园内便捷地访问校内教学资源,同时在需要时无缝切换至互联网,获取丰富的在线学习资料。但在实际应用中,CDN域名分流的复杂性使得这一理想状态的实现面临重重挑战。CDN,即内容分发网络,其工作原理是将数字内容智能分发到离用户最近的节点,以此减少网络延迟、节省带宽资源、提升用户体验。为了实现这一目标,CDN服务商常常采用域名分流技术,将网站的资源分散到多个子域名上,以此减轻单个域名的负载。 然而,在该运营商客户的案例中,这一技术却引发了一系列问题。部分互联网业务无法访问的根源在于CDN域名分流设置与5G双域专网的网络环境不兼容,当学生通过5G双域专网访问特定互联网业务时,CDN域名分流机制未能将请求准确导向正确的节点。 2.解决方案 CDN域名的DNS解析过程中,尽管成功获取了业务域名对应的IP地址,但后续终端向该地址发送的报文却未能收到响应。进一步深入分析发现,问题可能出在公网方向,即从UPF(用户面功能)到CMNET城域网的路径上。在这一路径中,可能存在路由配置错误、防火墙访问限制或其他网络设备的故障,导致流量无法正常转发。 从DNS解析的角度来看,CDN域名分流涉及复杂的解析过程。当学生的终端发起DNS请求时,请求报文会被送往Local DNS(本地域名系统)进行解析。如果Local DNS未能正确配置或与CDN的调度系统协同工作,则可能返回错误的解析结果,或者无法将用户的请求按预期比例引流到不同的CDN节点。此外,CDN应答报文中的CNAME(规范名称)记录也可能成为问题的根源。如果在处理CNAME记录时出现错误,如未能正确跟踪CNAME链或在存在IPv4类型的应答时未正确移除CNAME记录,都可能导致终端无法获取正确的IP地址,进而无法访问相应的互联网业务。要实现从DNS解析篡改到流量转发转换的闭环,需重点解决虚拟IP映射管理、CNAME复杂场景处理及hook点协同三大核心问题,同时通过参数校验与资源管控避免潜在风险。 Panabit采用DNS响应hooker先于DNS管控策略的方案,避免管控策略拦截或修改已替换虚拟IP的应答,导致客户端获取错误地址。FLOW SCAN hooker在路由前处理,可确保地址转换后,路由模块基于真实IP(DNAT后)选择指定WAN口,避免路由错误。DNS应答中的CNAME和多类型应答是处理难点,需按场景进行差异化处理,确保客户端解析结果有效:如果存在1个及以上IPv4类型应答,则移除所有CNAME记录,仅保留替换为虚拟IP后的记录,避免客户端通过CNAME再次解析真实IP,绕开虚拟IP映射;若为无IPv4的应答(仅CNAME或AAAA),则跟踪CNAME链(记录CNAME与最终IP的映射),待后续解析到IPv4时再替换虚拟IP,确保间接解析(通过CNAME跳转)的域名也能被策略覆盖。最后通过虚拟IP映射表的高效管理与冲突检测与配置参数的严格校验,成功优化5G双域网场景下客户访问卡顿延迟问题。 3.配置方法 【网络设置】>【DNS管控】>【域名代理】>【参数配置】进行配置:
DNS解析相关参数: | 名称 | | | | floweye dnsnat config enable=1 dns=2 pxy=wan_33.88 ipstart=2.0.0.1 ipend=2.100.100.100 ttldelay=333 | enable:模块启用开关(默认0,不启用)。 dns:dns域名组id。 pxy:wan线路。 ipstart:虚拟ip段起始。 ipend:虚拟ip段结束。 ttldelay  NS记录延时老化秒数(默认600秒)。 |
2.2 802.1X支持黑白名单 1.客户场景 802.1X协议作为局域网端口的一个普通接入机制被广泛运用,但是其无需复杂认证即可接入和无法强制阻断风险设备的特性使应用场景缺乏安全性。 2.解决方案 802.1X协议本身不直接集成黑白名单功能,但通过与RADIUS认证服务器及Panabit的联动,可实现黑白名单的访问控制。其核心价值在于在认证机制基础上,通过预设策略快速允许或阻断特定设备或用户接入,适用于多种场景。 Panabit的802.1X黑白名单信息匹配逻辑在于以MAC地址为核心,通过终端MAC地址进行匹配。接入设备在终端接入时,首先读取其MAC地址(数据链路层信息,无需终端主动发送),与黑白名单中的MAC列表比对,适用于固定设备控制,如打印机、服务器。 3.配置方法 【宽带准入】>【802.1x认证】>【准入MAC】,选择黑名单/白名单进行手动添加或文件导入:
802.1X黑白名单配置相关参数: | 名称 | | | | floweye dot1x_stamac config mode=0/1
| 0=白名单模式,只有列表中的mac允许进行8021x认证,认证通过才能上网,列表外的包则直接丢弃;1=黑名单模式,列表中的mac不允许认证,直接丢包,其余要先认证通过才能上网(默认黑名单模式)。 | | floweye dot1x_stamac add mac=xxx | 可以一次增加多个mac,例如: floweye dot1x_stamac add mac=mac1 mac=mac2 mac=mac3 mac=mac4 | | floweye dot1x_stamac remove mac=xxx
| 支持一次删除多个mac,例如: floweye dot1x_stamac remove mac=mac1 mac=mac2 mac=mac3 mac=mac4 | | floweye dot1x_stamac list |
|
2.3 iconv字库优化 1.客户场景 某客户使用Panabit进行钉钉认证时,发现字库部分字体不支持,需求为认证和上传文件的字体全部支持。 2.解决方案 先前版本中,Panabit页面中的中文字库使用gb2312编码。从TANG r7p5版本开始,字库使用UTF-8编码支持,保证认证前后的信息统一。
2.4 支持用户组信息发送给Panalog 1.客户场景 某客户使用Panalog旁挂Panabit完成日志审计,为方便查看和管理,需求为Panalog也能使用Panabit的用户组进行分类。 2.解决方案 Panabit TANG r7p5在当前认证日志内容基础上,提取用户管理系统中关联用户与用户组的映射关系,将用户组信息添加到认证日志信息中。且新增字段不会影响原有日志分析工具的解析,工具会将用户组识别为新的键值对,无需额外配置。Panalog也同步增加用户组字段,可选择指定的用户组日志。从而实现Panabit和Panalog的用户组信息同步,客户也可提取指定用户组的日志信息。
2.5 DHCP Server支持Option自定义 1.客户场景 某酒店客户使用Panabit管理旗下设备,需求为同时满足设备的个性化配置。 2.解决方案 DHCP Server的标准Option(如网关、DNS等)仅能覆盖通用网络配置,而自定义Option可针对专用设备传递厂商私有参数(如设备编号、控制指令、服务器地址)。先前版本中,Panabit的内网DHCP Server的Option只支持Option 12、Option43、Option 60、Option 61、Option 138。而类似某电视IP盒子需使用Option 151、Option 152和Option 156,并要求Option带服务器和服务类型的信息才能使用。此次版本更新后,Panabit可在DHCP Server中新增自定义选择Option,通过LAN线路连接传递给设备,实现“一次分配IP,同步完成专属配置”的闭环。 3.配置方法 【网络设置】>【DHCP服务】>添加DHCP Option:
2.6 增加自定义威胁情报 1.客户场景 通用威胁情报(如全球流行的恶意IP、病毒哈希等)和商业威胁情报虽然能覆盖绝大部分的威胁,但不同客户的特有IT环境、业务流程和攻击面(如内部系统漏洞、针对企业的钓鱼软件等)往往是此类情报的盲区。客户需求增加自定义威胁情报,从自身视角提炼威胁特征,实现精准防御。 2.解决方案 Panabit新版本默认会新增2类自定义威胁情报,一类是域名类型,另一类是IP类型。提供用户可以自定义增加、导入本地情报,然后进行监测、阻断。 3.配置方法 【威胁情报】>【情报概况】>添加【自定义情报】: 【威胁情报】>【情报概况】>【情报查询】,查看是否有IP、域名重复导入:
2.7 增加威胁情报告警 1.客户场景 当前Panabit已经上线了专业威胁情报的能力,客户需求增加对威胁情报的告警功能。 2.解决方案 新版本在威胁情报中新增基于用户做威胁情报命中次数的告警,以及基于用户命中威胁情报次数、情报类型等条件做告警设置和预警。输出为原始情报事件并做告警输出处理,具体如下:支持对收费情报、免费情报、自定义情报做告警输出;每产生一条命中记录,就产生一次告警输出;可以根据已有的告警输出属性,组织成对应输出方式(比如微信、飞书等)所需要的内容。 3.配置方法 【威胁情报】>【情报概况】,选择是否开启情报告警: 【威胁情报】>【情报概况】>【告警通知】,选择情报告警方式及是否开启:
威胁情报告警相关参数: | 名称 | | | | floweye malc get logevent=1 | 命令执行后会自动定时使用,执行后会输出缓冲区中当前所有的告警信息,同时将缓冲区清零。已经输出的告警信息会在内部清除,留出空间给新的告警信息。PanaOS内部分配了一个最多支持512条告警信息的缓冲区,如果缓冲区满了,新的告警信息将被丢弃。 | | | 第一列为情报源名称,比如“奇安信商业情报标准版”,“奇安信商业情报高级版”。告警输出脚本可以根据输出格式及内容,组织成对应输出方式所需要的内容。 | | floweye malc set db=N warn_enable=0|1 | |
2.8 PN租赁版授权用户连接数扩容 1.客户场景 随着网络发展,当前家庭网络接入终端日益增多。对于社区场景,单个PPPoE用户占用的连接数会很大,易在用网高峰期出现延迟卡顿。针对这一现象,客户需求对PN系列授权增加会话连接数。 2.解决方案 针对PN系列授权,非官方硬件授权连接数增加15%;官方硬件授权连接数增加30%。
2.9 端口映射回流优化 1.客户场景 客户反馈当前端口映射回流无法满足实际应用场景,有部分员工无法连接。端口映射回流(NATLoopback)是一种特殊配置,它允许内部网络用户通过路由器的公网IP地址访问内部网络中的服务,简化了内外网访问流程,提高了访问效率,并增强了网络的灵活性。 2.解决方案 之前版本在开启端口映射回流时,使用映射策略对应的LAN口的IP和被映射IP之间建立一条虚拟的连接,同时可以解决透明回流问题。但是因为LAN口只有一个IP,端口数有限,所以支持的连接数也有限,而单IP已经不能满足大量回流的要求。Panabit TANG r7p5在端口映射回流配置中增加IP地址段,可以使用更多的源地址做回流,以解决客户问题。
IP段设置相关参数: | 名称 | | | | floweye nat config nhpxyip=10.100.100.10-10.100.100.30
| 增加指定IP段来替代LAN口IP以解决连接数不够的问题 | | floweye nat stat|grep nhpxyip |
| | floweye nat config nhpxyip=n.n.n.n-m.m.m.m | 当参数设置为默认参数0.0.0.0时,可以清除虚拟IP,使用对应的LAN口IP作为虚拟IP。 |
2.10 其他策略增加cookie 1.客户场景 客户需求能进行标记策略,方便在日志里查看匹配的策略从而管控。 2.解决方案 r7p3版本中对路由策略+流控策略进行了优化,支持优先级和ID分开,方式为增加cookie(16位),cookie是由SASE控制器下发给设备的唯一且不重复的ID。但是其他策略仍旧采用管控策略的优先级与ID为同一个对象,一条策略改动了优先级,其序号即改变,SASE控制器无法将一条策略唯一对应一个ID。r7p5在此基础上优化了所有支持ID优先级的策略都支持cookie,方式与路由策略一致。包含以下策略:DNS管控、域名追踪、连接控制、HTTP管控、端口映射。
DNS域名相关参数: | 名称 | | | | | 增加了cookie参数,此参数和id一样,可以作为policy的key。需要注意的是,添加策略时,PanaOS并不检查cookie参数的唯一性,所以指定cookie参数后,floweye dnrt get命令只返回符合条件的第一条策略。 |
2.11 重启设备MAC记忆不丢失 1.客户场景 客户需求在Portal认证中做无感知认证,但是由于环境等因素不能配备Radius做MAC认证,且机房环境会出现断电、网络中断等现象,导致对接用户需要重复认证。需求为能正常做无感知认证。 2.解决方案 无感知的认证方式主要有MAC记忆及MAC认证,由于无法配备Radius服务器,所以采用MAC记忆进行认证。在Panabit中,MAC记忆包含对终端MAC地址的识别、记录和管理功能,主要用于实现基于MAC地址的网络接入控制、权限管理或行为审计。 Panabit TANG r7p5优化MAC记忆存储方式,重启设备后仍然能保留无感知认证的MAC列表。在无感知认证时,Panabit会忽略下联三层交换机的MAC,不做MAC记忆。避免了将三层交换机的MAC地址误判为终端设备并记录,确保无感知认证仅针对真实终端生效,同时不影响交换机的正常转发功能。且MAC白名单最大数目从8扩大到64,充分满足客户需求。 3.配置方法 【应用商店】>【web认证2.0】>【无感知认证】>【参数配置】: 【应用商店】>【web认证2.0】>【认证策略】>【添加】,开启MAC记忆:
MAC记忆模块相关参数: | 名称 | | | | | savettl参数默认为0,当savettl为0时,MAC记忆列表信息依然保持在内存盘中,兼容老版本。 当savettl大于0时: 1)Panabit将MAC记忆列表保存到Panabit的LOG分区(默认/usr/panalog目录)的wamac.info文件中。 2)为了避免频繁写盘导致CF损伤,savettl的值表示相邻两次写盘的最小时间间隔,单位为秒,所以savettl=60,表示间隔60秒写盘。 3)使用floweye wamac config savettl=N来设置savettl值。 | | | |
2.12 会话日志和NPM日志增加威胁情报命中标记 1.客户场景 客户需求Panabit的会话日志和NPM日志能与威胁情报联动,查看是否有会话命中威胁情报。 2.解决方案 Panabit TANG r7p5在会话日志和NPM日志上优化了显示界面,增加了威胁情报命中标记,能让日志系统知道哪些会话命中了威胁情报。通过数据关联让日志更直观展示,方便客户进行维护管控。
2.13 NAT66支持大于64的前缀 1.客户场景 某大型企业客户使用IPv6进行网络部署,需求内外网访问能满足复杂的网络拓扑和地址规划要求。 2.解决方案 NAT66可将内部网络的IPv6地址前缀转换为外部网络的地址前缀,使内部网络用户能够访问外部公共网络,同时也能让外部网络访问部分内部网络资源,如内部服务器。 NAT66前缀转换(IPv6-to-IPv6Network Prefix Translation,NPTv6,IPv6-to-IPv6网络前缀转换)是NAT66的一种实现方式,其将报文头中的IPv6地址的前缀替换为另一个IPv6地址前缀,实现IPv6地址转换。NAT66前缀转换提供两种地址转换方式:源地址转换和目的地址转换。前者应用在内部网络主动访问外部网络的场景中;后者应用在内部网络向外部网络提供服务,并由外部网络主动访问这些服务的场景中。目前,NAT66前缀转换使用IPv6地址前缀匹配报文。 Panabit TANG r7p5优化NAT66支持大于64位的前缀,能更灵活地适应不同网络环境下的地址转换需求。在一个IPv6网络去往另外一个IPv6网络的边缘位置存在多个NAT66设备时,通过配置相同的源地址转换规则,可形成等价路由,实现流量在这些NAT66设备上的负载分担。支持长前缀地址可使负载分担的配置更精准,适应不同规模和地址分配方式的网络。 3.配置方法 【网络设置】>【路由/NAT】>【静态NAT66】,可选择超过64位的前缀长度:
2.14 ARM版本不再携带joskm_4.19.232.ko模块 1.客户场景 随着本次新版本功能的增加与优化,ARM架构的Panabit需要进行模块升级。 2.解决方案 基于ARM架构的PanabitTANG r7p5因兼容性、功能调整等原因,不再携带、支持或处理模块joskm_4.19.232.ko。
2.15 增加对rate-unit的支持 1.客户场景 客户反馈运营商3A报文进行了调整,新增属性无法识别,需求为Panabit正常识别并对接。 2.解决方案 运营商在Radius认证成功报文中下发的限速值中新增了限速单位的属性,Panabit新增rate-unit字段支持,能正常成功对接3A。
2.16 优化系统IPv6相关线路配置 1.客户场景 客户反馈创建IPv6 WAN线路后获取不到网关MAC,需求为Panabit能自动获取。 2.解决方案 之前版本需用户手动打开IPv6识别的开关才能获取网关MAC。Panabit TANG r7p5进行优化,当用户创建了IPv6相关的线路(WAN, LAN, PPPOE)时,自动开启IPv6相关识别。
三.界面优化 3.1 优化iWAN账号禁用后的踢线功能 可通过【对象管理】>【账号管理】>【本地账号】禁用账号,r7p5版本会自动将对应该账号的iWAN客户端踢下线。 查看【虚拟专网】>【iWAN客户端】校验:
3.2 线路禁用状态下显示优化 Panabit TANG r7p5优化之前版本禁用的WAN线路在ping检测线路选择中不显示问题,禁用了仍旧可以在ping检测的线路选择页面中显示:
3.3 增加CSRF校验开关 【系统维护】>【系统设置】>【WEB设置】新增CSRF校验开关。CSRF是一种常见的网络攻击,攻击者通过诱导用户在已认证的情况下执行非预期操作。校验开关可用于控制是否启用跨站请求伪造(CSRF)防护机制,从而提升客户业务安全。
3.4 威胁情报按搜索内容导出 【威胁情报】>【命中日志】>【关键字搜索】,可按搜索内容进行日志导出或重置查询结果:
3.5 WEB设置新增HTTP/HTTPS访问开关 【系统维护】>【系统设置】>【WEB设置】新增HTTP/HTTPS访问的开关,用户可通过开关控制访问HTTPS页面。
3.6 优化登录验证码显示逻辑 【系统维护】>【系统设置】>【WEB设置】优化登录验证码显示,用户可通过开关控制登录验证码的显示方式。 3.7 系统告警新增Syslog通知方式 在【系统告警】>【通知方式】中新增【Syslog】途径,用户可通过配置选择指定服务器进行告警通知。 3.8 优化线路名称校验逻辑 Panabit TANG r7p5优化LAN/WAN线路和PPPoE服务名称校验逻辑,不能为纯数字类型。 【网络设置】>【LAN/WAN】>【LAN接口】校验: 【网络设置】>【LAN/WAN】>【WAN线路】校验: 【宽带准入】>【PPPoE】>【服务列表】>【添加】PPPoE服务校验:
3.9 LAN/WAN线路页面同步网卡状态显示 Panabit TANG r7p5对LAN/WAN线路界面的物理网卡状态显示进行了优化,如果是down(非正常工作状态)则显示红色,如果是UP(正常工作状态)则显示蓝色。在备机状态下,线路down但是物理链路UP,更方便判断是否能将备机切换到主机。在运维过程中,也能快速排查LAN/WAN线路不启用的原因。
3.10 IPv6 LAN线路增加DHCP服务开关 Panabit TANG r7p5在【网络设置】>【LAN/WAN】>【LAN接口】>【添加】LAN线路配置页面中新增DHCPv6服务,可通过配置选择无状态或DHCPv6地址分配。
四.BUG修复
| 序号 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | DHCPv6 WAN收到其他设备的DHCPv6 request报文错误匹配路由 | | | | DHCPv6未恢复携带interface-id字段 | | | | | | | | | | | huawei5g_strip()错误识别IPv6数据包导致CRASH |
五.应用识别 5.1 新增应用 | 一级分类 | | | | | | | | | 上海莉莉丝计算机技术有限公司制作并发行的一款英雄射击游戏 | | 上海宝可拉网络科技开发、腾讯发行的二次元奇幻MMORPG游戏 | | | | | | | | Nimble Neuron开发、Kakao Games发行的竞技游戏 | | | |
面向终端客户的智能边缘计算平台,用户可以通过平台贡献闲置带宽、存储资源,赚取奖励收益 | | | | | | | | | | | | | | | | | | | | | | | 虚拟专用网络,是一种借助隧道技术、加密技术等,于公共网络上构建模拟专用网络的互联网技术 | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | 基于列式存储的分布式联机分析处理(OLAP)数据库管理系统,支持海量数据的实时分析与高效查询 |
5.2 更新应用
| 一级分类 | | | | | | | 拳头游戏与腾讯光子工作室群合作开发的第一人称射击手游 | | | | Grinding Gear Games研发的一款角色扮演类游戏 | | | | | | 知名影视站点之一网站包括动作片、喜剧片和综艺片等十几个频道 | | | | | | | 成都领沃网络技术有限公司推出的一体化网吧内容管理软件 | | | | | | 53端口是互联网域名系统(DNS)服务的标准端口,通过UDP和TCP两种协议实现域名与IP地址的相互转换 | | | | | | | 远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API | | | 特性非常齐全的自由软件的对象-关系型数据库管理系统 |
六.下载地址
标准版:
网吧版:
Linux:
PanabitWB_TANGr7p5_20250822_Linux3.tar.gz
(5.52 MB, 下载次数: 4)
ARM:
PanabitWB_TANGr7p5_20250822_arm64.tar.gz.gz
(5.49 MB, 下载次数: 1)
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡