manualPanabit流控管理配置手册

1、目录目 录2前言40.1系统检查50.2管理界面登陆50.3确认系统时间50.4配置与测试网桥50.5设备上线60.6修改口令71网络配置81.1 管理接口91.2 数据接口92对象管理112.1 自定义协议112.2 IP群组112.3 自定义协议组122.4 虚拟链路133策略管理153.1 参数设置153.1.1网桥带宽153.1.2内网IP统计163.1.3伪IP防护163.1.4 TOS设置173.2 流量控制183.2.1数据通道183.2.2策略组193.2.3策略调度243.2.4 策略生效确认25http第 2 页/共 46 页3.3 连接控制273.4 HTTP管控274统

2、计304.1分桥统计304.2流量趋势314.2三日对比334.4历史图表334.5 TOP 应用344.6 TOP IP354.6.1 IP-流量概况364.6.2 IP-连接信息364.6.3 IP-相关374.6.4 IP-共户374.7 IPIP趋势384.8 网络接口394.9 当前策略40迅雷、超级旋风管控说明41附录一附录二Panabit应用协议样本抓包方法43http第 3 页/共 46 页前言感谢您选择并使用 Panabit 应用层流控产品！Panabit 应用层流量分析及控制系统（以下简称 Panabit 流控），是在互联网 P2P(Peer-to-Peer)应用广泛流行的

3、背景下，诞生的新一代应用层 QOS 产品。Panabit 流控是一款真正意义上的应用层级流控产品，基于连接过程和协议特征识别，对于加密协议采用主动探测引擎，经过一套完整的识别流程，准确识别应用，精确定位具体的客户端，把宽带网络的应用可视化和可管理提高到一个新的阶段。Panabit 流控系统能帮助宽带运营网络管理实时了解网络应用流量状态及应用概况，通过策略进行灵活可控的流量管理，网络运行效率。应用层流控产品，是一个典型的服务型产品，需要根据互联网应用的变化，不断改进协议识别引擎和更新协议特征库，才能保证流控的效果。应用层协议识别的重点和难点是 P2P 应用，P2P 流控是应用层流控的；互联网不断

4、有新增加的应用，已有的应用为了逃避流控设备，采用技术对抗方法，和变换协议特征，甚至整个趋势向加密方向发展，这使得流控产品的技术要、适应或这些变化，才能为用户提供良好的服务。Panabit 流控产品，为了适应互联网应用的快速变化，有专门的团队研究互联网应用变化，采用抓包的方法不断收集分析协议样本，利用开发、描述能力强的“协议特征描述语言”PSDL(Protocol Signature Description Language)，协议特征库，快速提供给用户升级。Panabit流控系统，正常 3 个月升级一次版本，1 个月升级一次协议特征库。升级了特征库，将有的协议被识别，降低未知流量的比例。请 P

5、anabit 流控产品用户，注意查收版本和特征库，第一时间升级到版本，从而获得更好的流控效果。在使用过程中，如果发现某个应用未能被正确识别，可以及时向经销商或Panabit SupportCenter反馈（邮件地址：s)或直接帮助样本，Panabit在分析获取特征之后添加到协议特征库，通过特征库升级，就解决问题。Panabit 流控产品，全中文化的 Web 界面，界面简洁，操作容易掌握，必要的提示在 Web 界面中已经标明，对于有一定技术基础的，基本可以无需手册指导操作。但是还是建议，正式上线前，仔细阅读本手册，掌握策略配置的和流程，从而获得灵活的策略配置管理效果。http第 4 页/共 46

6、 页0.1 系统检查硬件系统用户，设备出厂时已经过检验，按照设备上标注的每路网桥内、口一一对应的连接网线，直接跳至第 1 章节。新装用户，需要对系统做进一步的检查与配置。0.2 管理界面登陆(注意：非http)缺省用户名：admin： panabit缺省注：对于 IE 7.0 及以后的浏览器版本，点击“继续浏览此(不)”，则进入 Panabit 流控系统管理界面，管理员用户名是：admin，缺省口令是：panabit；0.3 确认系统时间-系统管理-系统时间”，确认时间正确。如不对，则直接修改后提交。如依次点击“系统时间不正确，将影响到系统的策略执行、流量图表统计信息、License 是否有效

7、等。0.4 配置与测试网桥Panabit 流控系统，最多可以支持 4 路网桥的分别管理和统计流量；系统安装完毕，需要在 Web管理界面设定网桥，网桥名称以网桥 1、网桥 2、网桥 3、网桥 4 标识，需要分别设置所使用的网卡和内接口，配置界面如下：http第 5 页/共 46 页注：增强型驱动，表示数据网卡驱动使用 PanaOS 定制的驱动，可以保证高性能和低延迟。网桥配置需两两做桥，同属于一个网桥，一内一外，每设定一个网卡，需要提交一次。注意：上线前，一定要先测试网桥是否正常。多路网桥，每一路都需要测试。简单的测试方法，将 Panabit 系统串接在笔记本电脑前上网，使用迅雷大文件，查看网络

8、速度是否正常和迅雷是否被分析识别。测试正常后，设备即可正式上线。速率设置，通常不需要用，当与连接端不能正常工作时，选择速率设置。0.5 设备上线Panabit 流控系统，支持透明网桥、旁路两种工作模式。透明网桥模式同时具备流量分析及控制功能；旁路模式仅具备流量分析功能。如设备具备多个网络接口，也可同时启用网桥和旁路，此种模式在实际环境中应用场景不多，不做详细介绍。以下是最普遍的透明网桥模式的部署拓扑及说明，以一路网桥（一进一出）为例：注：Panabit 透明地串接在交换机与路由器之间，内网口接交换机，口接路由器；网桥上无需配置 IP 地址，仅相当于一条网线，无需改变原有拓扑和网络设置；http

9、第 6 页/共 46 页内线全部连通后，0.5 配置界面图中的数据接口状态将显示为“正常”，此时网络恢复到管理地址，至此 Panabit 流控系统的上线工畅通。将管理口连接到交换机，从内网可以作完成。0.6 修改口令修改系统 Web 界面与root 帐户；需要设置复杂、足够强度的口令。注：系统用户名：root缺省： rootRoot修改方式：命令提示符下执行：# passwd输入新：再次输入新：注意：两次输入均不回显，敲错。http第 7 页/共 46 页1网络配置Panabit流控系统登录管理界面的方式是：。管理员用户名是：admin，缺省口令是：panabit 。如果系统管理丢失或忘记了管

10、理 IP 地址，可通过串口使用超级终端，通过 console口登录修改和设置临时 IP 地址，Web 界面登录之后，通过 Web 界面配置管理接口的 IP 地址、掩码和默认网关，提交后保存。注：超级终端连接参数：9600 8 无 1 无 ，(点“缺省”即可)。由于使用了安全登录，IE 7.0 登录管理界面时，出现安全警告提示页面，点击 “继续浏览此网站(不)”，则进入 Panabit 流控系统管理界面，首页页面如下（下图为 Panabit在 ISP 用户、双向 4G 环境下稳定运行的实际案例）：注：系统刚上线运行时，由于无流量数据，饼图显示为灰色。之后未知流量比例逐步降低，建http第 8 页

11、/共 46 页议空策略运行 6-24 小时后，待未知流量比例稳定后再根据统计数据制定策略。1.1 管理接口修改管理接口 IP 界面如下：修改完毕点击提交，管理接口 IP 地址修改生效并保存至配置文件。注：Panabit 的网络配置信息，使用单独的配置文件，FreeBSD 系统配置的网络信息，在启动Panabit 进程时，将被 Panabit 网络配置信息替换，如果在系统命令行修改 Panabit 的管理地址信息，可以直接修改：/usr/panaetc/ifadmin.conf 文件，重启 Panabit 使其生效。可以在 FreeBSD 命令行用 ifconfig 临时修改管理接口 IP 地址

12、，保存地址信息，需要到 Web 管理界面修改保存。Ifconfig 临时设置网卡 IP 地址的格式是：ifconfig fxp0 00 netmask 。1.2 数据接口网桥配置与察看界面如下：http第 9 页/共 46 页网桥的内接口，请根据硬件接口标识，不能接反；如果接反，则网桥虽然也是通的，但策略效果和流量统计信息相反，打开“内网 IP 统计”功能后，统计到的全部是IP 地址。上线前，需测试网桥是否正常，多路网桥，每一路都需要测试。简单的测试方法，将 Panabit系统串接在笔记本电脑前上网，使用迅雷大文件，查看速度是否正常和迅雷是否被分析识别。测试正常后，即可正式上线。上线后，系统先

13、要保证网络的正常使用，强烈建议先不配置策略，以透明网桥方式进行流量分析 24 小时，以获取制定策略时所必需的统计依据。流量分析是逐步进行，初始时未知比例会很大并逐渐下降；通常 24 小时之后，各类流量比例才会趋于稳定，此时再根据流量分布比例，开始配置流量管理策略。策略设置好后的一周内，需要根据网络的实际运行情况和用户反馈状况做适当的调整，通常调整 2-3 次以后，可基本达到用户的期望值。注：网络应用和流量均处于不断变化中，因此没有一劳永逸的策略。要保持流控始终产生恰当的管控效果，需要不间断地通过 Panabit 统计数据进行对观察，结合当前网络应用和流量变化情况，实时灵活调整策略。如遇到 Pa

14、nabit 流控内、卡与上、下端网络设备的协商问题，可通过“速率设置”手动修改各数据接网卡的速率。注：各数据网卡工作模式缺省为自适应状态。http第 10 页/共 46 页2对象管理Panabit 流控管理，策略配置是基于对象、选项参数、动作组成具体的策略。对象管理的功能是为了扩展自定义对象，Panabit 系统的基本对象已经包含：协议/协议组、源地址/目的地址。为了方便策略配置，可以根据实际情况自定义对象。可自定义对象包括：自定义协议、IP 群组、自定义协议组、虚拟链路。2.1 自定义协议对于企业用户网络中个性化的应用，比如非知名公司的会议或数据库协议，为满足对这些个性化协议的分析与策略管控

15、。Panabit 提供了基于静态端口的自定义协议，系统最大支持自定义协议数为 5 种。注：自定义协议时，必须同时提交英文名称和中文名称，且不得与系统已支持协议重名。自定义协议创建成功后，匹配到定义端口的流量即被识别为此协议。自定义协议界面和示例如下：2.2 IP群组单 IP、IP 段在策略策略配置时，已经是可以作为控制对象的参数使用，但是一个 IP 地址或一http第 11 页/共 46 页个 IP 段，需要一条策略对应，对多个 IP 或IP 段配置同一控制策略时，需要配置多条策略，操作起来比较烦琐，使用 IP 群组自定义功能，可以把多个 IP、不连续的 IP 段定义一个 IP 群组，并以组名

16、称标识，这样配置策略方便和直观。注：添加 IP 地址或地址段的格式，请注意参考上方的蓝色字体提示说明。自定义 IP 群组之后，在配置策略时，IP 群组名称将自动添加到内网、地址对象下拉菜单中供调用。如不连续的 IP 地址段较多，也可以 TXT 文本方式导入，文本文件的格式要求同上，截图见下：2.3 自定义协议组Panabit 流控系统，已经根据客户端应用的功能，明确划分若干大类，如 P2P、网络电视、HTTP 协议、常用协议、即时消息、等大类，每个类别下面，再细分具体的协议名称。为了配置策略方便，可以把用户关注的协议或需要在一条策略中集中管控的协议自定义为一个协议组，创建策略时点击“选择协议”

17、，最下方即为自定义的协议组名称。注意：以迅雷为例，由于迅雷具备跨协议、至常规端口如 80 等技术，因此要精确控制迅雷，需要对几种协议同时做控制，为此创建一个自定义协议组，名为“迅雷系列”，配置界面和示例如下：http第 12 页/共 46 页之后在配置策略时，仅需选择“迅雷系列”这个自定义协议组即可，减少策略数量和操作复杂度。2.4 虚拟链路Panabit 流控部署上线后，可以对实际经过物理网桥的流量进行精细的分析和统计。虚拟链路的的设计，是为了满足用户的以下需求：A、用户为某大型企业某，需要了解到网络和流量情况；B、需要了解整个公司或者某些 IP 对特定互联网 IP 地址对外地总公司的网络（

18、可能为一个、或一个应用服务器）的和流量情况。注意：虚拟链路的创建元素为 IP；系统最大支持 4 条虚拟链路；虚拟链路仅提供统计和分析功能，不提供策略控制功能；虚拟链路的统计数据为匹配完策略之后的数据。配置界面和示例如下：http第 13 页/共 46 页统计”“流量概况”“虚拟链路”中，可点击查看这条虚拟链路的统计之后在“分析报表。http第 14 页/共 46 页3策略管理策略管理是 Panabit 实现应用协议流量管理的策略管理控制中心，首先是系统相关的参数配置，其次是“流量控制、连接控制、HTTP 管控”三种策略。注：三种策略为并列关系，策略组名字相同或策略序号相同均互不影响。3.1 参

19、数设置3.1.1 网桥带宽网桥带宽是设定承载该链路的带宽最大值，如未来在策略中需要启用带宽预留、带宽保证时，必须设置该值；对于策略中通常的允许、阻断、限速，则忽略此值，系统缺省 0 值，表示缺省关闭上下行带宽预留、带宽保证功能，见括号内的说明。不同的网桥，需要根据实际情况设置带宽，上、下行分别设置，同时可命名该网桥所代表链路的名称，设置界面和示例如下：http第 15 页/共 46 页3.1.2 内网IP统计内网 IP 统计，是设置系统并统计当前IP 的流量信息，由于开启内网 IP 流量统计功能会对系统资源开销有一定影响，对于运营商级负载重的网络和硬件配置比较低的系统，不建议打开此选项；对于

20、IP 数在 2000 以内的企业用户，打开此选项对系统性能的影响可以忽略。系统仅统计和显示当前的 IP 使用的协议和带宽使用状态，不保存此项信息，可以根据实际需要选择打开和关闭。开启或关闭内网 IP 统计设置界面和示例如下：注：内网 IP 统计缺省为关闭状态；内网 IP 最大空闲时间缺省为 600 秒，超过 600 秒无新流量产生的 IP 将从统计列表中被清除，此处建议使用默认值，不必修改。3.1.3 伪IP防护伪 IP 防护功能，主要用于当网络有电脑中木马时，主动保护连接池受到冲击而导致的网络中断，详见功能页面蓝色字体说明。打开此功能后，所有不包含于内网合法 IP 表中的 IP 所发起的连接

21、或流量，将直接被统计到“内网 IP”协议，当发现网络中有此流量时，即表明网络正受到木马类，可立即通过策略对该协议流量进行控制，以达到保护和网络的目的。注意：打开“伪 IP 防护”功能，必须将内网中所有合法的 IP 地址输入合法地址表，不得有遗漏，否则被遗漏的 IP 将直接被判断为的IP，其发起的连接和 IP 将直接被统计为“内网 IP”协议。http第 16 页/共 46 页3.1.4 TOS设置TOS 即 Type of Service，此功能的作用：对不同类型的应用协议数据包打标记，当路由器或防火墙看到带有这些标记的数据包后，即可通过策略路由将不同的应用协议流量转发到不同的出口链路，比如将

22、所有的 web流量转发到网通出口，而将所有的 P2P流量转发到电信出口。必须支持 TOS 机制；注：此功能需路由器或配合实现，因此路由器或仅针对启用节点的协议可使用 TOS 标记功能，www 协议不支持；单线 TOS 和多线 TOS；当选择单线 TOS 时，系统根据策略对连接的每个数据包进行匹配并打标记；如果选择多线 TOS，系统只对连接的第一个包进行匹配并打标记，连接的其它数据包和第一个包的 TOS 标记一样。注：目前仅单线 TOS 可用。截图见下：http第 17 页/共 46 页3.2 流量控制Panabit 的流量控制，分为三个步骤完成：1、定义数据通道(分配带宽数值)； 2、编辑策略

23、组(具体的策略集合)；3、定义策略调度表(策略何时生效)。3.2.1 数据通道数据通道，主要设置数据通道带宽数值和匹配的通道路径，当设置带宽预留、带宽保证时，可以选择带宽所在路径；对于带宽限速，无所在路径选项。设置数据通道的目的，是在策略组配置策略时作为执行动作使用，缺省的执行动作仅阻断和允许两项，一旦配置了数据通道，通道名称将加入执行动作选项，从而实现划分数据通道的目的。在自定义通道名称时，注意通道名称便于理解。数据通道配置界面和示例如下：以上数据通道名称，在接下来的策略组添加策略配置界面中，下拉“动作/通道”选项，将出现新增加的数据通道名称，即数据通道是为策略配置先行设置的动作。注意：要调

24、用预留和保证类数据通道，编辑策略时的数据路径需与通道定义的一致，否则“动作/通道”选项中将不会出现相关的通道名称。通道表示为带宽数值，一个已经定义的数据通道，在策略配置中可以灵活使用，可以表示上行、http第 18 页/共 46 页下行、双向、协议总和、网桥总和，即数据通道可以共用。关于带宽限制、带宽预留、带宽保证的理解：带宽限制最大那么多。“上限”的意思，不许超过。带宽预留总是那么多。“恒定”的意思，用不用、够不够都是那么多。带宽保证至少那么多。“至少”的意思，如果不够，还可以从其他带宽中挤占，直至够用。3.2.2 策略组1）创建策略组并为其命名策略组是策略的集合，策略组创建之后，逐一添加策

25、略；根据实际需要，可以创建多个策略组，供不同时间段调用；创建多个策略组时，可直接点击“策略组”，将当前已建好的策略组（所有的策略已经完成）拷贝为一个新的策略组，指定新的策略组名，之后对新策略组中各策略的通道数值、动作逐条相应修改即可。2）点击“添加策略”，创建相关策略注：策略匹配的原则是序号小的优先；创建策略时，不要按照 1、2、3 这样的顺序依次创建，建议采用 10、20、30 方式。当某些时候需要在策略 20 之前一条策略时，只需要直接创建一个为 15 的策略提交，则策略 15 将自动放到策略 20 之前。各参数后面括号中蓝色字体为为相关的注释，将鼠标移动到蓝色字体部分即可显示相关说明。如

26、创建策略时不理解，建议先看懂说明再操作。http第 19 页/共 46 页以下为创建一个为 10 的策略。“策略标识”：即策略序号，Panabit 流控策略执行的顺序为由小到大执行，实际在时，编号之间留些空档，便于策略，比如 10、20、30 这样，如果在 1020 之间新的策略，就有可用，如果预计的策略较多，间隔加大。“数据路径”：表示本策略作用链路的范围。“任意路径”表示该策略作用于整个系统所有网桥的任意方向；“任意上/下行路径”表示该策略作用于系统中所有网桥的所有上行或下行方向；“网桥1 上行”表示该策略仅作用于网桥 1 的上行一个方向。注：无论数据路径是选择上行方向还是下行方向，始终是

27、先选择“内网地址”，后选择“地址”，如不注意，此处容易配置错误，特别是定义下行方向的策略时。“内/地址”：定义该策略所的源、目的地址。提供 4 种对象形式：任意地址（等同于any）、./nn（一个网段写法为 /24；一个 IP 写法为 00/32）、n.n.n.n-m.m.m.m （续 IP 段，写法为 -54）、IP 群组（直接在“对象管理”中预先定义好的 IP 群组，如之前在“对象管理”中创建的 IP 群组：“技术科”）。“应用协议”：选择该策略所匹配的应用协议，可以选择一个协议组，也可以选择具体的某个协议、自定义协议、自定义协议组；带“”的表示协议组。自定义协议、自定义协议组需预先在对象

28、管理配置部分定义。http第 20 页/共 46 页“执行动作”：未创建“数据通道”时，此处将只有两个选项：允许、阻断。创建数据通道后，相关数据通道名称将自动显示，作为动作选项。对应前面所选择的“数据路径”和“应用协议”选择相匹配的动作或通道即可。注意：数据通道为共享性质，如限速“P2P”和“网络电视”在两条策略里，执行动作选择同一个数据通道，则“P2P”和“网络电视”共享这一数据通道。“内网单 IP 限速”：默认数值 0，表示这条策略对内网 IP 不做单独的限速，忽略此项；如果给定内网单 IP 限速带宽数值，则表示在满足本策略动作时，同时对单个 IP 限速。上图策略 20 的整体含义为：对于

29、技术科的所有人，在使用 P2P类协议时，针对该群组内的所有 IP，下行方向的可http第 21 页/共 46 页用带宽上限为 p2p_down 即 2M（参看之前数据通道部分），而具体到该群组中的每个 IP（同样是使用 P2P类协议时），其个人的最大速度为 100kbits/s。概括即：数据通道针对整体，单 IP限速针对个人。“对端发送抑制”： 采用 TCP 滑动窗口控制机制，通过调节 TCP 窗口大小，抑制对端发送速率，从而减少数据包丢弃量，达到更好的速率控制效果。通常控制下行流量是通过减少上行流量，在策略配置时上、下行分别限制带宽，上行流量与下行流量的比例是 1/10-1/15，超过带宽数

30、据通道设置值，则对数据包进行丢弃；一般情况，发送给对端的请求，对端按原有的速率返回请求，即无法控制远端的发送速率，使得到达路由器的数据量依然比较大，只有在到达流控设备后，决定丢弃还是放行，造成较多的数据包丢弃，如果配合主动抑制选项，即可预先的告知对方，发送速率减慢，提高带宽的使用效率。抑制强度：1 级最强，10 级最弱，强度的选择需要结合数据通道大小调试获得实际经验值，抑制强度选择恰当的标志是：数据包丢弃量较少；如果允许下行通道带宽 100Mbps，选择主动抑制后，实际下行流量达不到 100Mbps(当然这也是一种控制方法，无数据通道的控制)，则说明强度太强，需要减弱强度，如果包丢弃量较大，说

31、明强度太弱，需要加大强度，一般选择 5 级强度，根据实际情况向两边调。控制下行速率，主动抑制选项设在上行策略里；上下行两个方向都可以同时抑制，http第 22 页/共 46 页根据具体的情况选择。注：对端发送抑制，建议仅针对“P2P”类应用启用，其他协议如网络电视或 web等均不必打开此选项，否则这些协议会给用户造成很“卡”的感觉，不停的处于“-缓冲”的循环中；对正常的网络应用如 www、务必不要使用此功能。Panabit 流控系统 除能对 TCP 协议进行主动抑制外，可对几种主流 P2P 应用的 UDP 协议进行主动抑制，如迅雷、BT、eDonkey、风行等等。对 UDP 类协议，需单独分析

32、研究每一个具体的网络应用，逐个增加。“DSCP 标记”：前面进行 TOS 功能设置后，此处对相关协议的数据包进行标记。在上图所示的策略 20 中，策略中所选择的协议为“P2P”，则系统将对所有被识别为 P2P应用的数据包进行标记，标记值为 5。当路由器看到带有此标记的数据包时，即表示此数据包为 P2P类应用，之后如路由器支持 TOS，则通过策略路由将此类应用的数据包转发至指定的网络出口/链路。注意：仅针对启用节点的协议可使用 TOS 标记功能，www 协议不支持。“动作过后”： 该策略被匹配完后是继续还是停止。将鼠标移至行末的（帮助）查看详细说明。多数策略选择停止匹配，当一个策略的作用域比较大

33、，需要下一条策略继续匹配才能满足要求时，即前后两条或多条策略具备包含或关联关系时，才选择继续匹配。http第 23 页/共 46 页点击提交，一条策略配置完毕，继续添加策略，重复上述过程。做完一个策略组，再创建新策略组，再逐一添加策略，形成一个新的策略组。以下是一个策略组示例：策略组的配置，需要做一下规划，策略组的执行，需要放在接下来的策略调度中执行，策略调度是划分时间段调用策略组，策略组的规划结合时间段，定义适当的名称标识。3.2.3 策略调度点击“添加时段”增加一个策略调度计划表，除根据时间条件匹配外，同时可根据用户数设置，如下图：策略调度可以是按周进行，也可以按月进行，预先设置好特定日期

34、如假期的策略，如下图：http第 24 页/共 46 页注意：Panabit 流控系统在策略调度中支持一个“缺省策略组”，如当前时段内没有被定义的策略调度，则系统将启用缺省策略组。用户可自行定义或修改一个策略组作为缺省策略组。缺省的策略组是：“空策略组”表示没有任何策略，即系统默认是完全“允许”和放行状态。同一个时间段，只能执行一个策略组。 策略调度中的时间设置只能是由小到大，比如01:0009:00，而不能是 23:00-02:00。如需临时停止执行或启用某个策略调度，在相应策略调度行末点击“编辑”，然后在“是否有效”中选择“无效”或“有效”即可。3.2.4 策略生效确认数据通道、策略组、策

35、略调度三个步骤全部完成后，策略才会开始生效。确认策略生效的方法：依次点击“统计”“系统概况”“当前策略”，如当前策略正确显示并且相关数值如动作前/后速率有刷新，则说明所建策略组已生效，否则请返回“流量管理”部分重新检查并设置数据通道、策略组、策略调度三个部分。以下是策略生效的示例：http第 25 页/共 46 页http第 26 页/共 46 页3.3 连接控制连接控制，顾名思义即针对内网 IP 的并发连接数限制。Panabit 的连接数限制，可以在一条策略中同时做到：1、对内网 IP 的 TCP/UDP/总连接数限制； 2、内网全部或IP 对某一个特定 IP、IP 群组的连接数控制；3、基

36、于应用协议的连接数控制。下图示例为：针对迅雷协议，内网所有 IP 的并发连接数控制策略。如内网地址和地址处需选择一个 IP 群组，需事先在对象管理中创建好。注：DNS 协议（即 UDP 53 端口）不受到并发连接数功能影响。连接控制的策略调度设置与“流量控制”处的设置完全相同，不再赘述。3.4 HTTP管控HTTP 管控，顾名思义即针对内网 IP 所发起的 HTTP 行为的控制管理。此功能模块包含以下功能：1、控制通过 HTTP 方式的文件类型，如控制用户通过 HTTP.exe 文件，防止误到某些木马的可执行程序，或控制用户上班时间通过 HTTP 方式.rmvb 或者.mp3 等与工作内容无关

37、的文件；2、控制内网用户方法是 GET（浏览）或是T（发某些，可控制http第 27 页/共 46 页帖），通过控制T方法，主动杜绝内网用户在某些发布某些不良信息；3、URL重自动重定向到公司；4、Web 信息提示，对定向，如上班时间将用户对开心网、土豆网的触发到 HTTP 管控策略的用户返回一个友好提示：如用户开心网时即返回“上班时间，游戏”，也可以通过此功能发布通知，如“下午 5 点，全体开会”。HTTP 管控所涉及的配置页面见以下几幅截图，使用 HTTP 管控功能，需事先在“对象管理”“HTTP 对象”中分别对想要控制的“文件类型”以及“”做好定义，以便在 HTTP 管控策略中。1、创建

38、一个想要控制的文件类型群组，名为“文件名过滤组”：注意：文件类型使用后缀名即可，正确写法是 exe，非.exe。（请注意括号内的文字说明）2、创建一个想要控制的群组，名为“的 URL 组”。http第 28 页/共 46 页注意：操作前请仔细阅读并按照表格上方的蓝色字体说明进行添加；所添加的 URL 长度最大为 59 个字节，不得超过；可以通过 TXT 文本格式先编辑好再直接上传，TXT 文本中的格式参见“IP 群组”页面的蓝色字体说明部分的格式，一条 URL 单独一行。3、创建一个名为“上班期 URL 控制”的 HTTP 管控策略组，并创建一条为 50 的策略如上图所示：对指定的IP群组“技

39、术科”，当这些IP到上图 2 所创建的“的URL组”http第 29 页/共 46 页中的时，请求将会被重定向到。方法，包含三种方式，任意方式（GET 或T）、信息浏览（GET）、信息上传（T）；注文件类型，如选择上图 1 中创建的“文件名过滤组”，则技术科的 IP 通过 HTTP 方式到定义的文件类型时，将受到相应的限制（此时的执行动作选择“允许”或“阻断”）；如本策略执行动作选择“信息提示”，则右边的表格中直接填写相应的提示性文字，如“上班时间，”、“下午 5 点，全体开会”等等。4、策略调度：与流量控制、连接控制中的策略调度设置一致，不再赘述。4统计统计，主要是监视系统的运行状态并提供相

40、应的统计报表及数据。Panabit 流控系统最大可支持 4 路网桥，可针对整个系统或各个网桥进行独立的报表统计和策略管理。这部分内容，主要是查看浏览，以下是一些示例：4.1 分桥统计查看“网桥 1”的统计报表。http第 30 页/共 46 页最近 10 分钟流量分布图：最近 10 分钟内，各协议组两个方向的总流量排序及百分比。累计流量分布图：从设备上线到当前，各协议组两个方向的总流量排序及百分比。当前连接数分布图：各协议组当前 active 连接的百分比。协议组信息：各协议组的流量参数统计数值。击蓝色的协议组名，即显示该协议组的统计报表。4.2 流量趋势最近 24 小时上、下行流量趋势图，以

41、下为某 ISP 案例截图，最近 24 小时内上行峰值为 1.8Gbps，下行峰值为 2.7Gbps：http第 31 页/共 46 页注：此处的上行、下行流量，分别代表这两个方向过策略处理后的流量，系统在两个方向接收到的原始流量见“统计”“网络接口”，相见后面 4.8。本图表每 5 分钟取点一次。横坐标为最近 24 小时时间，纵坐标为速率。不同颜色代表各协议组每个 5 分钟时刻的当前速率。图表为叠加效果图，各颜色的高点减去低点即为各对应协议组的速率。协议组定义：Unknown：未知协议General： 常用协议Httpgroup：HTTP 协议P2P：P2P类协议Nettv：网络电视类Im：即

42、时通信类Stream：流类Voip：网络类Game：类Stock：类Database：数据库类http第 32 页/共 46 页Other：其他协议类Custom：用户自定义类4.2 三日对比三日对比：提供最近 24 小时、前 24 小时、前 48 小时流量趋势对比。4.4 历史图表历史图表：提供一天、一周、一月历史趋势图表，以下为并发连接数的一周趋势图，并发连接http第 33 页/共 46 页数的峰值维持在约 230 万。4.5 TOP 应用TOP 应用：以应用协议为对象，根据不同的查询条件（整个系统、网桥 N、最近 10 分钟流量、累计流量、上行 bps、下行 bps、连接数）进行统计。

43、下图为针对网桥 1，以“下行 bps”为查询条件，查询当前下行流量最大、排30 位的应用协议及其明细。http第 34 页/共 46 页针对上图，进一步了解使用 TOP 30 中各应用协议的流量报表与使用者(IP)情况，可直接点击具体的蓝色应用协议名称，如“迅雷”。点击“迅雷”后，首先是迅雷的“TOP 用户”统计，缺省按照累计流量列出迅雷使用者的 TOP 20 用户 IP，同时可点击“趋势图表”，查看迅雷协议的历史趋势。4.6 TOP IPTOP IP，以 IP 为查询对象，查询根据各种条件（总流量、流入流量、流出流量、总速率、流入bps、流出 bps、连接数、IP 地址、户）进行排序。点击各

44、 IP，可查询该 IP 的 IP、共，同时提供该 IP 的应用概况、连接信息、相关、共户四个分类报表。上述功能详见下列几个图表：http第 35 页/共 46 页注：如需对某一段 IP 进行查询，则在“IP 范围”内分别输入起始 IP 和终止 IP 即可；如只查询一个 IP 如 0，则起始 IP 和终止 IP 均输入 0 即可；如按照“IP 地址”排序，则排序规则为 IP 地址从大到小。4.6.1 IP-流量概况某内网 IP 的IP，首先是该 IP 当前正在使用的应用协议明细：4.6.2 IP-连接信息该 IP 当前正在使用的应用协议详细的连接明细：http第 36 页/共 46 页4.6.3

45、 IP-相关当内网某 IP 使用到、MSN 或 POP3 客户端时，Panabit 会自动码、MSN这些账号和 POP3 账号，显示这些账号与 IP 的对应关系。注意：Panabit 仅、MSN、POP3 的账号，不涉及聊天内容或邮件内容。4.6.4 IP-共户当某 IP 使用快带路由器、网卡共享、等技术与其他人共享网络时，Panabit 会自动检测并http第 37 页/共 46 页该 IP 背后的 IP 信息及网络的时间。宽带运营商通常将这种行为称为“带宽私接”或“一拖 N”。注意：Panabit 对“一拖N”的检测，使用更加先进的、基于应用协议的检测机制；当内网某 IP 使用到、MSN

46、或 POP3 客户端时，Panabit 会自动码、MSN这些账号和 POP3 账号，显示这些账号与 IP 的对应关系。注意：Panabit 仅、MSN、POP3 的账号，不涉及聊天内容或邮件内容。4.7 IPIP趋势IP 趋势：IP 数的趋势图表。http第 38 页/共 46 页注： 横坐标为时间，最右方为当前时间；纵坐标为 IP 数；下方图表为共户（一拖 N）的统计报表。4.8 网络接口查询各网络接口的统计信息，网络接口仅包括数据接口。如下示例图查询网桥 1卡：em2的接口信息：http第 39 页/共 46 页注：em2 为网桥 1卡（接路由器），其 in 方向速率实际即等于通过路由器给到 Panabit系统的未处理的原始流量，而 out 方向则等于内网通过交换机给到 Panabit 之后，经过策略处理之后的流量；同理 em1 为网桥 1 内网卡（连交换机），其 out 方向速率实际即等于内网通过交换机给到 Panabit 的未处理的原始流量，而其 in 方向则为通过路由器给到 Panabit 之后，经过策略处理之后的流量。这是考量或验证路由器或交换机给到 Panabit 的原始流量究竟是多少的统计依据。4.9 当前策略以流量控制为例，当前系统正在执行的策略组，可直接对相关数据通道、策略进行编辑或删除。http第 40 页/共 46 页