流控的配置.doc

流控的配置 配置管理Panabit的配置管理主要包括：1） 网络配置2） 应用参数配置3） 节点管理4） 内网伪IP防护5） 网桥带宽配置6） 内网IP统计选项配置3.1 网络配置（ifconfig,route,if set,em setspeed）Panabit的网络配置方面比较简单，主要包括：1） 管理口配置2） 数据口配置管理口由FreeBSD直接管理，所以它的配置是使用FreeBSD的ifconfig（配置接口）和route（配置路由）命令。比如，将管理口fxp0的IP地址配置成00/24，使用下面命令即可做到：#ifconfig fxp0 00/24或者#ifconfig fxp0 00 netmask route命令用来增加或删除路由，比如下面的命令用来添加缺省网关为：#route add default 数据口主要使用floweye的if set命令，它的使用方法如下：If set name=if-name mode=n zone=inside|outside其中：1） if-name为网卡名称，如em0, em1等等；2） mode为网卡模式，0表示监控模式，1，2，3和4分别表示网桥1，网桥2，网桥3和网桥4；3） zone表示网卡接入位置，inside表示接内网，outside表示接外网；如果数据接口是Intel千M卡（比如82571/2/3/3/5/6芯片），那么可以使用em setspeed命令设置网卡的协商模式（如自动协商、强制1000M全双工等）。em setspeed命令使用方式为em setspeed if-name speed，其中：1） if-name为网卡名称，如em0, em1等；2） speed为网卡协商速率设置，auto表示自动协商，1000LX表示单模强制全双工，1000SX表示多模强制全双工，1000T表示电口强制全双工；需要注意的是，设置网卡协商模式命令发出后，Panaos会reset网卡，所以会出现短暂的断网，请尽量避免在有高流量的时候做设置。3.2 应用参数配置（app set） 对于每个应用协议，目前有三个标准参数可供配置：1） 连接老化时间，指连接没有通过流量时的最大生存时间，以秒为单位。2） 节点老化时间，指节点没有新建连接时的最大生存时间，以秒为单位。3） 是否缓存节点，指是否缓存节点，游戏协议一般会打开此选项。app set命令格式为：app set app-name flowttl=nnn nodettl=nnn cachesn=yes|no其中，flowttl、nodettl和cachesn分别对应上述三个参数。3.3 节点管理（node add, node remove） 节点在Panabit中是一个很重要的概念，它对性能的提升有着很重要的作用。所谓节点，实际上就是一个IP地址和端口的二元组，比如一个游戏服务器的IP地址和端口。Panabit所识别的很多应用协议都打开了节点缓存功能，在某些极端情况下，节点缓存会导致一些误识别，在出现这样的情况下，可以通过node add命令强制将误识别的节点修正或使用node remove强制将它删除。它们的使用方法如下： node add ip-address port app-name type node remove ip-address port 其中：1） ip-address为节点的IP地址2） port为节点的端口号3） app-name为节点应用类型4） type为节点的4层协议类型，如tcp表示TCP类型，udp表示UDP类型，both表示既是TCP，又是UDP3.4 内网伪IP防护（ipverify addip, ipverify rmvip,ipverify clearip, ipverify enable, ipverify disable）由于网络中病毒的问题，经常会出现一些恶意攻击包，其中有很多攻击包的源地址是伪造的，这些非正常的数据包会给Panabit带来一系列的问题：1） 内网IP池很快被耗尽，导致正常的IP流量不能统计。2） 连接池很快被耗尽，导致正常的连接信息不能记录，因而无法分析网络流量。基于上述两个缘故，并且出于Panabit自身功能正常运转的目的，Panabit内置了一个内网伪IP防护模块。这个模块的工作原理如下：1） 用户通过ipverify addip命令将内网合法的IP地址或IP段告诉Panabit2） 当Panabit接收到一个IP包后，它先判断其源IP（如果是从内网卡进来的包）或目的IP（如果是从外网口进来的包）是否在合法IP表中，如果在，就进入正常的应用分析模块；如果不在，直接将此数据包当做“内网伪IP”应用，进入策略处理模块。Panabit缺省情况下，对这种类型的数据包是做放行处理的，如果用户需要对此类数据包进行处理，就需要在策略组中添加相应的处理策略。另外，在缺省情况下，内网伪IP防护模块是没有打开的，用户可以使用ipverify enable命令打开此模块，也可以使用ipverify disable功能关闭它。需要注意的是，如果打开此功能模块而没有将合法的内网IP地址或地址段告诉Panabit，那么正常的流量就会被Panabit标记成“内网伪IP”，从而影响设备的正常使用。用户可以使用ipverify addip将合法内网IP地址添加到IP池进行操作，比如：1） ipverify addip ，将添加到池中2） ipverify addip -，将、和添加到池中3） ipverify addip /24，将/24整个C类网段添加到池中同样的，也可以使用ipverify rmvip来删除池中的某个或某些IP地址，比如命令ipverify rmvip 将从池中删除。如果想一次性清空池中的所有IP地址，可以使用ipverify clearip命令，这个命令没有任何参数。3.5 网桥带宽配置（policy setgbw, policy getgbw）我们经常碰到在某些特殊的环境下要对某种关键应用做带宽保证或预留。Panabit在实现带宽预留或保证的时候采取的算法非常简单，就是从总带宽中抠出要预留或保证的部分。如果要想做到这一点，Panabit就需要知道系统的总带宽有多少，用户可以使用policy setgbw命令告诉Panabit。policy setgbw命令的使用非常简单：policy setgbw bridge=n in=nnn out=nnn name=xxx 其中：1） bridge参数让用户选定网桥，1，2，3和4分别表示网桥1、网桥2、网桥3和网桥4；2） in参数设置网桥的下行带宽；3） out参数设置网桥的上行带宽；4） name参数是可选的，用来设置网桥的名称；所有带宽参数的单位均为kbps，所以1000就表示1Mbps。如果想获取这些参数，则可以使用policy getgbw命令，这个命令的输出很简单，在此就不再赘述了。3.6 内网IP统计选项配置（ipobj setarg） 在专业版里，内网IP统计选项缺省时关闭的，如果要打开这个选项，就需要是用ipobj setarg命令，它的使用方式如下：ipobj setarg enable=1|0 ttl=nnn 其中：1） enable选项表示是否打开内网IP统计功能，1表示打开，0表示关闭2） ttl用来设置内网IP的老化时间，当在此时间内没有流量时，系统就会将IP地址从表中删除，ttl的单位为秒，系统缺省值是1800秒。2. 日志管理和接口Panabit目前可以向外界输出其记录下来的行为，输出方式有：1） 以NETFLOW v5格式输出给netflow服务器2） 以文本方式输出给syslog服务器3） 以Panabit专用格式输出给Panabit日志服务器或第三方提供的服务器我们可以将Panabit的日志根据内容简要分为两大类：1） 网络事件。比如连接终止，URL访问，QQ登陆和退出，MSN登陆，POP3登陆和DNS查询；2） 网络流量。比如应用协议流量，内网IP流量。目前Panabit对以下网络事件进行记录：1） 连接终止。每条连接信息包括连接创建和结束的时间，4层协议5元组（源地址，目标地址，源端口，目标端口，协议），应用协议信息（应用类型，流量）。2） URL访问。记录URL访问记录，比如哪个IP在何时访问了哪个网站的哪条URL。3） QQ登陆和退出。记录QQ用户登陆和退出的日志，比如哪个IP何时通过什么样的QQ号码登陆到哪个服务器。4） MSN登陆。同上类似。5） POP3登陆。同上类似。6） DNS查询。记录用户访问DNS记录，比如哪个IP何时通过哪个DNS服务器查询了哪个域名。4.1 网络事件日志配置（logger config, logger stat）logger config命令的使用方式如下：logger config arg1=value1 arg2=value2 argN=valueN目前支持下面的参数：1） logflow=none|syslog|netflow；2） logqq=none|syslog|mem；3） logmsn=none|syslog|mem；4） logpop3=none|syslog|mem；5） logdns=none|syslog|mem；6） syslog_serverip=xxx.xxx.xxx.xxx，SYSLOG服务器IP地址。7） syslog_serverport=nnn，SYSLOG服务器端口。8） netflow_serverip=xxx.xxx.xxx.xxx，NETFLOW服务器IP地址。9） netflow_serverport=nnn，NETFLOW服务器端口。在上面参数中，”none”表示不记录日志；”syslog”表示以SYSLOG方式输出日志；”netflow”表示以NETFLOW v5格式输出日志；”mem”表示将日志输出到buffer中。配置完后，用户可以通过logger stat命令查看当前各个参数的值，logger stat的输出比较简单，这里就不举例了。4.2 显示缓冲区中网络事件日志信息（logger dumpbuf, logger clearbuf）有时为了调试或其它某种目的，需要将日志信息保存到某个缓冲区中，并显示保存在该缓冲区中的信息。Panabit可以通过logger config命令的XX_savetomem参数来控制相应的日志内容是否保存中，如果对应的参数是1，则表示保存在内存中；否则就通过SYSLOG输出到SYSLOG服务器上。用户在设置了上述选项后，可以使用logger dumpbuf命令查看保存在该缓冲区的所有日志内容。可以通过logger clearbuf命令清楚缓冲区中的所有日志信息。需要注意的，一旦该缓冲区已满，后续的日志将会被丢弃，而不是覆盖老的日志，同时， logger dumpbuf命令也不会自动清楚缓冲区的内容。4.3 网络事件日志内容格式 网络事件主要以SYSLOG或NETFLOW格式输出，其中SYSLOG居多（目前只有连接终止事件才会使用NETFLOW v5格式）。 当采用SYSLOG方式输出事件日志时，每个时间占用一行，并且以“”字符串开始，后面跟描述时间内容的字符串。如果SYSLOG服务器是共用的话，用户可以将这个字符串作为标识，表示这个来自于Panabit设备的时间日志输出。注意，“n”为设备标识（请看4.6），是用户设置的一个整数，缺省值为0。4.3.1 连接终止事件连接终止事件有两种格式：1）SYSLOG格式2）NETFLOW v5格式SYSLOG格式连接终止事件 := 连接类型 + 连接时间 + 连接信息+ 正向流量 + 反向流量 其中各个域之间通过一个空格隔开，各个域分别描述如下：（1） 连接类型： 表示连接的应用类型及连接的类型（TCP或UDP），格式为“协议英文名称.tcp”或“协议英文名称.udp”。比如“edonkey.tcp”表示这是一个TCP类型的edonkey会话。（2） 连接时间：格式为“起始时间-结束时间”，起始和结束时间都以秒为单位，表示从1970年0点开始的秒数，均为整数字符串。（3） 连接信息：格式为“源地址:源端口-目的地址:目的端口”，比如0:1360-:21。（4） 正向流量：源地址至目的地址方向的字节数（5） 反向流量：目的地址至源地址方向的字节数4.3.2 QQ登陆退出事件 QQ登陆事件 := “qqlogin” + 登录时间 + QQ号码 + 登录地址 + 登录服务器地址 QQ退出事件 := “qqlogoff” + 登录时间 + QQ号码 + 登录地址 + 登录服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1） 登录时间：登录时的时间，一个以秒为单位的整数字符串（2） QQ号码：一个整数字符串（3） 登录地址：QQ登录的计算机IP地址，格式为xxx.xxx.xxx.xxx的字符串（4） 登录服务器地址：QQ服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.3 MSN登陆事件 MSN登陆事件 := “msnlogin” + 登录时间 + email帐号 + 登录地址 + 登录服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1） 登录时间：登录时的时间，一个以秒为单位的整数字符串（2） email帐号：用户的MSN帐号（3） 登录地址：MSN登录的计算机IP地址，格式为xxx.xxx.xxx.xxx的字符串（4） 登录服务器地址：MSN服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.4 DNS查询事件 QQ查询事件 := “dnsquery” + 查询时间 + 域名 + 源地址 + DNS服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）查询时间：查询时的时间，一个以秒为单位的整数字符串（2）域名：要查询或者解释的域名，比如（3）源地址：客户机的地址，格式为xxx.xxx.xxx.xxx的字符串（4）DNS服务器地址：DNS服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.5 POP3登陆事件 POP3登陆事件 := “pop3login” + 登陆时间 + 账号 + 源地址 + POP3服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）登陆时间：登陆时的时间，一个以秒为单位的整数字符串（2）账号：登陆时使用的账号（3）源地址：客户机的地址，格式为xxx.xxx.xxx.xxx的字符串（4）POP3服务器地址：POP3服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.6 URL访问事件 URL访问事件 := “www” + 访问时间 + 源地址 +“GET|POST” + HOST + URL其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）访问时间：登陆时的时间，一个以秒为单位的整数字符串（2）源地址：客户机的地址，格式为xxx.xxx.xxx.xxx的字符串（3）HOST：如（4）URL：如/forum/index.php4.4 网络流量日志配置前面我们说过，网络流量日志目前主要有下面几种类型：1）应用协议流量和连接数2）内网IP流量和连接数Panabit会将上述流量信息传送给Panabit日志服务器，不同类型流量使用不同的UDP端口。服务器的IP地址和端口可以通过logger config命令进行配置：logger config logger_ip=xxx.xxx.xxx.xxx logger_port1=nnn logger_port2=nnn其中：1）logger_ip：这个参数用来设置日志接收服务器的IP地址；2）logger_port1：这个参数用来设置日志接收服务器接收应用协议流量的UDP端口；3）logger_port2：这个参数用来设置日志接收服务器接收内网IP流量的UDP端口；4.5 网络流量日志内容格式 网络流量日志通过UDP报文传送给日志服务器，每个UDP报文包含一个报文头，1N条相同类型的流量记录。报文中所有的整数格式数据都是Little Endian（即同X86字节序一样），所以只要日志服务器是X86的，就不需要做字节转换）。报文头记录1记录2记录N4.5.1 报文头格式字段名字节（类型）字段缺省值备注tag03（char）“PNB0”报文类型标记device45（u_int16_t）0设备标识type6（u_int8_t）0报文后面记录的类型，1表示应用流量类型记录，2表示IP流量类型记录num7（u_int8_t）0记录个数seq811（u_int32_t）0数据包的序列号，发送时以递增的顺序发送，接收方可以通过此序列号判断丢包情况time1215（u_int32_t）0最后时刻（秒）internal1617（u_int16_t）0统计间隔（秒）len1819（u_int16_t）0报文长度（字节数），不包含报文头4.5.2 应用流量记录格式字段名字节（类型）字段缺省值备注apid01（u_int16_t）0应用编号linkid23（u_int16_t）00表示监控模式链路，14分别表示网桥1至网桥4,58分别表示虚拟链路1至虚拟链路4flowcnt47（u_int32_t）0最后时刻统计到的连接数upbytes815（u_int64_t）0上行流量（字节）downbytes1623（u_int64_t）0下行流量（字节）4.5.3 内网IP流量记录格式字段名字节（类型）字段缺省值备注ipaddr03（u_int32_t）0IP地址flowcnt45（u_int16_t）0最后时刻统计到的连接数apid67（u_int16_t）0应用标识，0xffff表示所有应用Inbytes811（u_int32_t）0流入流量（字节）outbytes1215（u_int32_t）0流出流量（字节）4.6 设备标识当我们的日志服务器从相同的UDP端口接收来自多台设备的日志数据时，它就需要数据中有能区分日志数据来源的信息，Panabit是通过被称为device id的整数来标识的，这个整数是一个16位的无符号数。用户可以通过logger config命令来配置设备标识：logger config deviceid=nnn注意，目前Panabit没有任何手段来确保多台Panabit设备之间的device id的唯一性，所以，用户在给不同设备设置device id时需要自己确保其唯一性。3. 策略管理Panabit的策略管理可以说是整个系统的核心之所在。在Panabit里，用户可以对不同类型的流量和行为做控制管理，这些控制和管理手段就是基于不同类型的策略实现的。目前，系统有三种类型的策略：1） 流量控制策略：这是最常用的策略，这种类型的策略用来对各种应用流量进行控制管理；2） 连接数控制策略：用来对内网IP的并发连接数进行控制管理；3） HTTP控制策略：用来对HTTP流量进行控制管理，比如根据域名做阻断、重定向或信息提示等等；每种类型的策略针对不同时机的数据包进行检查：1） 流量控制策略：每个数据包都要检查；2） 连接数控制策略：每个连接的第一个包进行检查；3） HTTP控制策略：HTTP请求报文进行检查；针对每种类型的策略，系统会独立调度。每种类型的策略都包含几个基本的对象：1） 策略组：策略组是策略的集合，组中每条策略有一个序号，序号小的策略优先匹配；2） 策略调度表：用户可以定义自己的策略调度原则，比如根据时间和在线IP数情况使用相应的策略组控制网络行为；每一条调度策略称为调度表中的一个调度表项；上网WEB认证计费系统安装说明2010-06-26 22:11:51|分类： IT |标签： |字号大中小订阅 软件应用于：宾馆、酒店、小区等场所做宽带上网认证及收费依据。操作系统要求：WINDOWS20000SERVER硬件配置及最低要求：硬件名称摘要CPUC2.0以上内存512M网卡10/100网卡2张主板865GV路由器建议购买TP-LINK如果用户不多可以使用TL-R402M一台交换机8口交换机一台网络跳线看情况IP设置示意图：NAT设置：Windows2000ServerNAT设置在Windows2000服务器版中提供了NAT功能(网络地址转换)，使用该功能，可以让局域网中的所有机器通过一台服务器上网，并且，客户端不需要进行任何设置，所有的软件都可以直接访问互联网。NAT与“Windows网络共享”一个很大的不同之处在于，使用NAT上网时，服务器内网网卡可以设置成任意IP地址，而不是“Windows网络共享”规定的。一、服务器硬件要求服务器需要有一块网卡与内网相连接，另外，需要用任何一种方式与INTERNET相连接。二、设置服务器局域网网卡的IP地址根据自己的要求或喜好设置服务器内网网卡的IP地址，比如：、等等。三、启用并设置Windows2000的NAT1.点击“开始”-“程序”-“管理工具”-“路由和远程访问”，弹出如下窗口：2.在弹出的窗口中对着计算机名右击鼠标，如上图的快捷菜单，选择“配置并启用路由和远程访问”，之后，会弹出如下窗口：3.在该窗口中选择“Internet连接服务器”，点击“下一步”，弹出如下窗口：4.在该窗口中选择“设置有网络地址转换(NAT)路由协议的路由器”，点击“下一步”，弹出如下窗口：5.在该窗口中选择“启用基本的名称和地址服务”，然后连续点击“下一步”，直到出现“完成”，并点击它。这时系统会进行初始化提示，并且提示启用了路由等信息，这时的窗口内容会变成如下图：6.展开“机器名”-“IP路由选择”，选择“网络地址转换(NAT)”，右击鼠标，弹出如上图的快捷菜单，点击“属性”，弹出如下窗口：8.选择“地址分配”页面，选用“使用DHCP自动分配IP地址”，并且在“IP地址”文本框中输入想使用的IP地址段和子网掩码。如果局域网中的机器数量小于254台，子网掩码设置成，如果机器数据比较多，可以设置成，最多可以表示254256