Panabit用户手册

1、Panabit 流控管理配置手册(2010 版)北京派网软件有限公司2010.06北京派网软件有限公司目录目 录.2前言.40.1出厂默认设置 .50.2管理界面登陆 .50.3确认系统时间 .50.4查看License许可信息.50.5配置与测试网桥 .50.6设备上线 .60.7修改口令 .71网络配置.81.1管理接口 .91.2数据接口 .92对象管理.112.1自定义协议 .112.2IP群组.112.3自定义协议组 .122.4 虚拟链路 .133策略管理.153.1参数设置.153.1.1网桥带宽 .153.1.2 内网IP统计 .153.1.3 伪IP防护 .163.1.4 T

2、OS设置.173.2流量控制 .183.2.1数据通道 .183.2.2策略组 .183.2.3策略调度 .233.2.4 策略生效确认 .243.3连接控制 .253.4 HTTP管控.254监控统计.274.1分桥统计 .274.2流量趋势 .284.2三日对比 .304.4历史图表 .304.5 TOP 应用 .314.6 TOP IP .324.6.1 IP档案-流量概况.334.6.2 IP档案-连接信息.334.6.3 IP档案-相关身份.344.6.4 IP档案-共享用户.34第 2 页/共 46 页北京派网软件有限公司4.7 IP在线I

3、P趋势.354.8网络接口 .364.9当前策略 .365系统维护.385.1系统升级 .385.2系统维护 .395.3配置管理 .405.4日志管理 .405.4.1事件日志 .405.4.2清除流量日志 .41附录一注意事项 .42附录二迅雷、QQ超级旋风管控说明 .43附录三Panabit应用协议样本抓包方法.44第 3 页/共 46 页北京派网软件有限公司前言感谢您选择并使用 Panabit 应用层流控产品！Panabit 应用层流量分析及控制系统（以下简称 Panabit 流控），是在互联网 P2P(Peer-to-Peer)应用广泛流行的

4、背景下，诞生的新一代应用层 QOS 产品。Panabit 流控是一款真正意义上的应用层级流控产品，基于连接过程和协议特征识别，对于加密协议采用主动探测引擎，经过一套完整的识别流程，准确识别应用，精确定位具体的软件客户端，把宽带网络的应用可视化和可管理提高到一个新的阶段。Panabit 流控系统能帮助宽带运营网络管理人员实时了解网络应用流量状态及应用概况，通过策略进行灵活可控的流量管理，提升网络运行效率。应用层流控产品，是一个典型的服务型产品，需要根据互联网应用的变化，不断改进协议识别引擎和更新协议特征库，才能保证流控的效果。应用层协议识别的重点和难点是 P2P 应用，P2P 流控是应用层流控的

5、核心；互联网不断有新增加的应用，已有的应用为了逃避流控设备监管，采用技术对抗方法，伪装和变换协议特征，甚至整个趋势向加密方向发展，这使得流控产品的技术要跟踪、适应或超越这些变化，才能为用户提供良好的服务。Panabit 流控产品，为了适应互联网应用的快速变化，有专门的团队跟踪研究互联网应用变化，采用抓包的方法不断收集分析协议样本，利用自主开发、描述能力强的“协议特征描述语言” PSDL(Protocol Signature Description Language)，维护协议特征库，快速提供给用户升级。Panabit流控系统，正常 3 个月升级一次版本，1 个月升级一次协议特征库。升级了特征库

6、，将有更多的协议被识别，降低未知流量的比例。请 Panabit 流控产品用户，注意接收最新版本和最新特征库，第一时间升级到最新版本，从而获得更好的流控效果。在使用过程中，如果发现某个应用未能被正确识别，可以及时向经销商或Panabit Support Center反馈（邮件地址：)或直接帮助采集样本，Panabit在分析获取特征之后添加到协议特征库，通过特征库升级，就能及时解决问题。Panabit 流控产品，全中文化的 Web 界面，界面简洁，操作容易掌握，必要的提示在 Web 界面中已经标明，对于有一定技术基础的网管人员，基本可以无需手册指导操作。但是还是

7、建议，正式上线前，仔细阅读本手册，掌握策略配置的核心思想和流程，从而获得灵活的策略配置管理效果。第 4 页/共 46 页北京派网软件有限公司0.1 出厂默认设置管理口名称：fxp 0(PA-100，PA-200，PA-300)em 0(PA-500，PA-1000)管理口 IP 地址： 00掩码：管理口默认网关：0.2 管理界面登陆00(注意：非http)缺省用户名：admin缺省密码： panabit注：对于 IE 7.0 及以后的浏览器版本，点

8、击“继续浏览此网站(不推荐)”，则进入 Panabit 流控系统管理界面，管理员用户名是：admin，缺省口令是：panabit ；0.3 确认系统时间依次点击“系统维护-系统管理-系统时间”，确认时间正确。如不对，则直接修改后提交。如系统时间不正确，将影响到系统的策略执行、流量图表统计信息、License 是否有效等。0.4 查看 License 许可信息如果没有加载 License 或许可时间已过期，系统将仅统计 1 个内网 IP，8 条连接，其余的所有流量将不再分析和匹配策略。注：此时流量将被完全透传，网络保持连通状态。需联系厂家申请或续延 License。0.5 配置与测试网桥Pana

9、bit 流控系统，最多可以支持 4 路网桥的分别管理和统计流量；系统安装完毕，需要在 Web 管理界面设定网桥，网桥名称以网桥 1、网桥 2、网桥 3、网桥 4 标识，需要分别设置所使用的网卡和内外网接口，配置界面如下：第 5 页/共 46 页北京派网软件有限公司注：Panabit 企业级流控标准硬件支持两路网桥，即标配 4 块电口数据网卡。增强型驱动，表示数据网卡驱动使用 PanaOS 定制的驱动，可以保证高性能和低延迟。网桥配置需两两做桥，同属于一个网桥，一内一外。注意：上线前，一定要先测试网桥是否正常。多路网桥，每一路都需要测试。简单的测试方法，

10、将 Panabit 系统串接在笔记本电脑前上网，使用迅雷下载大文件，查看网络速度是否正常和迅雷是否被分析识别。测试正常后，设备即可正式上线。0.6 设备上线Panabit 流控系统，支持透明网桥、旁路监听两种工作模式。透明网桥模式同时具备流量分析及控制功能；旁路监听模式仅具备流量分析功能。如设备具备多个网络接口，也可同时启用网桥和旁路监听，此种模式在实际环境中应用场景不多，不做详细介绍。以下是最普遍的透明网桥模式的部署拓扑及说明，以一路网桥（一进一出）为例：注：Panabit 透明地串接在核心交换机与路由器之间，内网口接核心交换机，外网口接路由器；网桥上无需配置 IP 地址，仅相当于一条网线，

11、无需改变原有拓扑和网络设置；内外网线全部连通后，0.5 图中的数据接口状态将显示为“正常”，此时网络恢复畅通。将管理口连接到核心交换机，从内网可以访问到管理地址，至此 Panabit 流控系统的上线工作完成。第 6 页/共 46 页北京派网软件有限公司0.7 修改口令修改系统 Web 界面密码与后台 root 帐户密码；需要设置复杂、足够强度的口令。注：系统用户名：root缺省密码：rootRoot 密码修改方式：后台命令提示符下执行： #passwd输入新密码：再次输入新密码：注意： 两次输入密码均不回显，请勿敲错。http:/www.panabit

12、.com第 7 页/共 46 页北京派网软件有限公司1网络配置Panabit流控系统登录管理界面的方式是：00 。管理员用户名是：admin，缺省口令是：panabit 。如果系统管理密码丢失或忘记了管理 IP 地址，可通过串口使用超级终端访问后台，通过 console 口登录修改密码和设置临时 IP 地址，Web 界面登录之后，通过 Web 界面配置管理接口的 IP 地址、掩码和默认网关，提交后保存。注：超级终端连接参数：9600 8 无 1 无 ，(点“缺省”即可)。由于使用了安全登录，IE 7.0 登录管理界面时，出现安全警告提示页面，点击 “继续浏览

13、此网站(不推荐)”，则进入 Panabit 流控系统管理界面，首页页面如下（下图为 Panabit 在 ISP 用户、双向 4G 环境下稳定运行的实际案例）：注：系统刚上线运行时，由于无流量数据，饼图显示为灰色。之后未知流量比例逐步降低，建议空策略运行 6-24 小时后，待未知流量比例稳定后再根据统计数据制定策略。第 8 页/共 46 页北京派网软件有限公司1.1 管理接口修改管理接口 IP 界面如下：修改完毕点击提交，管理接口 IP 地址修改生效并永久保存至配置文件。注：如在 FreeBSD 命令行中用 ifconfig 命令临时配置或修改管理接口

14、IP 地址，重启系统时将丢失，此方式仅限于临时调试时使用，完整的命令格式为 # ifconfig fxp0 00 netmask 。1.2 数据接口网桥配置与察看界面如下：网桥的内外网接口，请根据硬件接口标识，不能接反；如果接反，则网桥虽然也是通的，但策略效果和流量统计信息相反，打开“内网 IP 统计”功能后，统计到的全部是外网 IP 地址。上线前，需测试网桥是否正常，多路网桥，每一路都需要测试。简单的测试方法，将 Panabit 系统串接在笔记本电脑前上网，使用迅雷下载大文件，查看速度是否正常和迅雷是否被分析识别。测试正常后，即可正式上线。上

15、线后，系统先要保证网络的正常使用，强烈建议先不配置策略，以透明网桥方式进行流量分析 24 小时，以获取制定策略时所必需的统计依据。流量分析是逐步进行，初始时未知比例会很大并第 9 页/共 46 页北京派网软件有限公司逐渐下降；通常 24 小时之后，各类流量比例才会趋于稳定，此时再根据流量分布比例，开始配置流量管理策略。策略设置好后的一周内，需要根据网络的实际运行情况和用户反馈状况做适当的调整，通常调整 2-3 次以后，可基本达到用户的期望值。注：网络应用和流量均处于不断变化中，因此没有一劳永逸的策略。要保持流控始终产生恰当的管控效果，需要网管人员不间断

16、地通过 Panabit 统计数据进行对观察，结合当前网络应用和流量变化情况，实时灵活调整策略。如遇到 Panabit 流控内、外网卡与上、下端网络设备的协商问题，可通过“速率设置”手动修改各数据接网卡的速率。注：各数据网卡工作模式缺省为自适应状态。第 10 页/共 46 页北京派网软件有限公司2对象管理Panabit 流控管理，策略配置是基于对象、选项参数、动作组成具体的策略。对象管理的功能是为了扩展自定义对象，Panabit 系统的基本对象已经包含：协议/协议组、源地址/目的地址。为了方便策略配置，可以根据实际情况自定义对象。可自定义对象包括：自定义

17、协议、IP 群组、自定义协议组、虚拟链路。2.1 自定义协议对于企业用户网络中个性化的应用，比如非知名公司的视频会议或数据库协议，为满足对这些个性化协议的分析与策略管控。Panabit 提供了基于静态端口的自定义协议，系统最大支持自定义协议数为 5 种。注：自定义协议时，必须同时提交英文名称和中文名称，且不得与系统已支持协议重名。自定义协议创建成功后，匹配到定义端口的流量即被识别为此协议。自定义协议界面和示例如下：2.2IP 群组单 IP、IP 段在策略策略配置时，已经是可以作为控制对象的参数使用，但是一个 IP 地址或一个 IP 段，需要一条策略对应，对多个 IP 或 IP 段配置同一控制策

18、略时，需要配置多条策略，操作起来比较烦琐，使用 IP 群组自定义功能，可以把多个 IP、不连续的 IP 段定义一个 IP 群组，并以组名称标识，这样配置策略方便和直观。第 11 页/共 46 页北京派网软件有限公司注：添加 IP 地址或地址段的格式，请注意参考上方的蓝色字体提示说明。自定义 IP 群组之后，在配置策略时，IP 群组名称将自动添加到内网、外网地址对象下拉菜单中供调用。如不连续的 IP 地址段较多，也可以 TXT 文本方式导入，文本文件的格式要求同上，截图见下：2.3 自定义协议组Panabit 流控系统，已经根据客户端应用的功能，明确划分

19、若干大类，如 P2P 下载、网络电视、 HTTP 协议、常用协议、即时消息、网络游戏等大类，每个类别下面，再细分具体的协议名称。为了配置策略方便，可以把用户关注的协议或需要在一条策略中集中管控的协议自定义为一个协议组，创建策略时点击“选择协议”，最下方即为自定义的协议组名称。注意：以迅雷为例，由于迅雷具备跨协议下载、伪装至常规端口如 80 等技术，因此要精确控制迅雷，需要对几种协议同时做控制，为此创建一个自定义协议组，名为“迅雷系列”，配置界面和示例如下：第 12 页/共 46 页北京派网软件有限公司之后在配置策略时，仅需选择“迅雷系列”这个自定义协议

20、组即可，减少策略数量和操作复杂度。2.4 虚拟链路Panabit 流控部署上线后，可以对实际经过物理网桥的流量进行精细的分析和统计。虚拟链路的的设计，是为了满足用户的以下需求：A、用户单位为某大型企业某分公司，需要了解到分公司网络对外地总公司的网络访问和流量构成情况；B、需要了解整个公司或者某些 IP 对特定互联网 IP 地址（可能为一个网站、或一个应用服务器）的访问和流量情况。注意：虚拟链路的创建元素为 IP；系统最大支持 4 条虚拟链路；虚拟链路仅提供统计和分析功能，不提供策略控制功能；虚拟链路的统计数据为匹配完策略之后的数据。配置界面和示例如下：

21、第 13 页/共 46 页北京派网软件有限公司之后在“监控统计”“流量概况”“虚拟链路”中，可点击查看这条虚拟链路的统计分析报表。第 14 页/共 46 页北京派网软件有限公司3策略管理策略管理是 Panabit 实现应用协议流量管理的策略管理控制中心，首先是系统相关的参数配置，其次是“流量控制、连接控制、HTTP 管控”三种策略。注：三种策略为并列关系，策略组名字相同或策略序号相同均互不影响。3.1 参数设置3.1.1 网桥带宽网桥带宽是设定承载该链路的带宽最大值，如未来在策略中需要启用带宽预留、带宽保证时，必须设置该值；对于策略中通常的允许、阻断、

22、限速，则忽略此值，系统缺省 0 值，表示缺省关闭上下行带宽预留、带宽保证功能，见括号内的说明。不同的网桥，需要根据实际情况设置带宽，上下行分别设置，同时可命名该网桥所代表链路的名称，设置界面和示例如下：3.1.2 内网 IP 统计内网 IP 统计，是设置系统记录并统计当前在线 IP 的流量信息，由于开启内网 IP 流量统计功能会对系统资源开销有一定影响，对于运营商级负载重的网络和硬件配置比较低的系统，不建议打开此选项；对于 IP 数在 2000 以内的企业用户，打开此选项对系统性能的影响可以忽略。系统仅统计和显示当前的 IP 使用的协议和带宽使用状态，不保存此项信息，可以根据实际需要http:

23、/第 15 页/共 46 页北京派网软件有限公司选择打开和关闭。开启或关闭内网 IP 统计设置界面和示例如下：注：内网 IP 统计缺省为关闭状态；内网 IP 最大空闲时间缺省为 600 秒，超过 600 秒无新流量产生的 IP 将从统计列表中被清除，此处建议使用默认值，不必修改。3.1.3 伪 IP 防护伪 IP 防护功能，主要用于当网络内部有机器中木马时，主动保护防火墙连接池受到冲击而导致的网络中断，详见功能页面蓝色字体说明。打开此功能后，所有不包含于内网合法 IP 表中的 IP 所发起的连接或流量，将直接被统计到“内网 IP 伪装”协议，当发现网络中有此流量时

24、，即表明网络正受到木马类攻击，可立即通过策略对该协议流量进行控制，以达到保护防火墙和网络的目的。注意：打开“伪 IP 防护”功能，必须将内网中所有合法的 IP 地址输入合法地址表，不得有遗漏，否则被遗漏的 IP 将直接被判断为非法的伪装 IP，其发起的连接和 IP 将直接被统计为“内网 IP 伪装”协议。第 16 页/共 46 页北京派网软件有限公司3.1.4 TOS 设置TOS 即 Type of Service，此功能的作用：对不同类型的应用协议数据包打标记，当路由器或防火墙看到带有这些标记的数据包后，即可通过策略路由将不同的应用协议流量转发到不同

25、的出口链路，比如将所有的 web 视频流量转发到网通出口，而将所有的 P2P 下载流量转发到电信出口。注：此功能需路由器或防火墙配合实现，因此路由器或防火墙必须支持 TOS 机制；仅针对启用节点跟踪的协议可使用 TOS 标记功能，www 协议不支持；单线 TOS 和多线 TOS；当选择单线 TOS 时，系统根据策略对连接的每个数据包进行匹配并打标记；如果选择多线 TOS，系统只对连接的第一个包进行匹配并打标记，连接的其它数据包和第一个包的 TOS 标记一样。注：目前仅单线 TOS 可用。截图见下：第 17 页/共 46 页北京派网软件有限公司3.2 流

26、量控制Panabit 的流量控制，分为三个步骤完成：1、定义数据通道(分配带宽数值)； 2、编辑策略组(具体的策略集合)；3、定义策略调度表(策略何时生效)。3.2.1 数据通道数据通道，主要设置数据通道带宽数值和匹配的通道路径，当设置带宽预留、带宽保证时，可以选择带宽所在路径；对于带宽限速，无所在路径选项。设置数据通道的目的，是在策略组配置策略时作为执行动作使用，缺省的执行动作仅阻断和允许两项，一旦配置了数据通道，通道名称将加入执行动作选项，从而实现划分数据通道的目的。在自定义通道名称时，注意通道名称便于理解。数据通道配置界面和示例如下：以上数据通道名称，在接下来的策略组添加策略配置界面中，

27、下拉“动作/通道”选项，将出现新增加的数据通道名称，即数据通道是为策略配置先行设置的动作。注意：要调用预留和保证类数据通道，编辑策略时的数据路径需与通道定义的一致，否则“动作/通道”选项中将不会出现相关的通道名称。通道表示为带宽数值，一个已经定义的数据通道，在策略配置中可以灵活使用，可以表示上行、下行、双向、协议总和、网桥总和，即数据通道可以共用。关于带宽限制、带宽预留、带宽保证的理解：带宽限制最大那么多。“上限”的意思，不许超过。带宽预留总是那么多。“恒定”的意思，用不用、够不够都是那么多。带宽保证至少那么多。“至少”的意思，如果不够，还可以从其他带宽中挤占，直至够用。3.2.2 策略组1）

28、创建策略组并为其命名第 18 页/共 46 页北京派网软件有限公司策略组是策略的集合，策略组创建之后，逐一添加策略；根据实际需要，可以创建多个策略组，供不同时间段调用；创建多个策略组时，可直接点击“复制策略组”，将当前已建好的策略组（所有的策略已经完成）拷贝为一个新的策略组，指定新的策略组名，之后对新策略组中各策略的通道数值、动作逐条相应修改即可。2）点击“添加策略”，创建相关策略注：策略匹配的原则是序号小的优先；创建策略时，不要按照 1、2、3 这样的顺序依次创建，建议采用 10、20、30 方式。当某些时候需要在策略 20 之前插入一条策略时，只需

29、要直接创建一个编号为 15 的策略提交，则策略 15 将自动放到策略 20 之前。各参数后面括号中蓝色字体为为相关的注释，将鼠标移动到蓝色字体部分即可显示相关说明。如创建策略时不理解，建议先看懂说明再操作。以下为创建一个编号为 10 的策略。“策略标识”：即策略序号，Panabit 流控策略执行的顺序为由小到大执行，实际在编号时，编第 19 页/共 46 页北京派网软件有限公司号之间留些空档，便于插入策略，比如 10、20、30 这样编号，如果在 1020 之间插入新的策略，就有编号可用，如果预计插入的策略较多，编号间隔加大。“数据路径”：表示本策略作

30、用链路的范围。“任意路径”表示该策略作用于整个系统所有网桥的任意方向；“任意上/下行路径”表示该策略作用于系统中所有网桥的所有上行或下行方向；“网桥 1 上行”表示该策略仅作用于网桥 1 的上行一个方向。注：无论数据路径是选择上行方向还是下行方向，始终是先选择“内网地址”，后选择“外网地址”，如不注意，此处容易配置错误，特别是定义下行方向的策略时。“内/外网地址”：定义该策略所引用的源、目的地址。提供 4 种对象形式：任意地址（等同于any）、xxx.xxx.xxx.xxx/nn（一个网段写法为 /24；一个 IP 写法为 00/32）、 n.n.n

31、.n-m.m.m.m （一个连续 IP 段，写法为 -54）、IP 群组（直接引用在“对象管理”中预先定义好的 IP 群组，如之前在“对象管理”中创建的 IP 群组：“技术科”）。“应用协议”：选择该策略所匹配的应用协议，可以选择一个协议组，也可以选择具体的某个协议、自定义协议、自定义协议组；带“”的表示协议组。自定义协议、自定义协议组需预先在对象管理配置部分定义。“执行动作”：未创建“数据通道”时，此处将只有两个选项：允许、阻断。创建数据通道后，相关数据通道名称将自动显示，作为动作选项引用。对应前面所选择的“数据路径”和“应用协议”选择相匹配的动作或通道即可。注意：数据通道为共享性质，如限速“P2P 下载”和“网络电视”在两条策略里，执行动作选择同一个数据通道，则“P2P 下载”和“网络电视”共享这一数据通道。第 20 页/共 46 页