1、Panabit 简明配置手册1Web 管理界面(1) 登陆 Web 界面:https:/192.168.1.100 (IP 地址是登陆 Web 界面前,在 FreeBSD 系统临时设置的 IP 地址)使用 ifconfig 命令不加参数,即可查看系统识别的网卡设备名称和激活连线状态,找到连上网线 Active 的网卡,使用 ifconfig fxp0 192.168.1.200 临时指定 IP 地址(此列 fxp0 是第一块 intel 网卡的设备名称,FreeBSD 下不同网卡的设备名称不同,不同于 Linux 下以 eth0、eth1 这样顺序编号)。提示:Panabit 不使用 Free
2、BSD 系统的网络配置文件,通过命令行指定的 IP 地址仅临时使用,启动Panabit 时,根据 Panabit 系统的网络配置文件初始化,所以网络设置须通过登陆 Web 管理界面进行设置并提交后才会永久有效。(2) Web 界面缺省用户名、密码:用户名:admin 密码:panabit2配置管理Panabit 配置管理分为三个部分:网络设置、系统参数、策略管理,其中主要的是策略管理。(1)网络设置:工作模式与 IP 地址:示例:如下图所示,em0 与 em1 构成网桥,分别连接外网与内网;em2 做为管理口配置管理 IP。(如需工作在监听模式,只需点击对应网卡的“配置” 选择“监听模式” 并
3、输入 IP 即可)缺省网关:输入缺省网关,提交即可。注:系统工作在网桥模式时,输入缺省网关的意义在于:对于那些加密的 P2P 协议,必须保证 Panabit自身可以访问到外网,主动探测引擎才可正常工作,否则这些加密协议将有可能被识别为未知应用。(2)系统参数:内网 IP 统计:选择是否打开内网 IP 流量统计功能,并设置内网 IP 最大空闲时间(规定时间内无任何流量动作的空闲 IP将被系统自动从统计库中删除),提交。注:内网 IP 流量统计功能是为中小企业用户量身定做的一项特色功能。由于该功能会相应的降低系统的一些性能,所以在运营商及用户数量庞大的网络中,如需首要保证性能,则建议关闭此功能。(
4、缺省状态下,该功能为打开状态。)出口带宽:指定网络出口的上、下行带宽,启用带宽预留和带宽保证时,需要输入此项,指明上下行最大带宽,注意此处的单位是 kbps。(缺省值为 0,即是关闭带宽预留和带宽保证功能状态。)(3)策略管理:Panabit 策略配置设计思路: Panabit 策略配置管理系统中,设置策略并使之生效必须完成两个步骤:创建并编辑策略组、创建策略计划表。其中在编辑策略的动作选项中,缺省仅有允许、阻断两个动作。如需执行其他动作如带宽限速、带宽保证、带宽预留,则需要先行创建数据通道,在“通道类型” 中选择相应的动作类型,创建数据通道完毕后,在编辑策略时,数据通道名将出现在动作选项中,
5、即可在动作选项中选择已定义的数据通道,设定不同类型的详细策略。策略组配置完成,仅表示预配置了策略,需要加载至策略计划表,才生效。具体示例请参看以下步骤:1)创建并编辑策略组:注:策略组包括“通道管理”与“ 策略管理” 两部分,需分别创建;策略设置时的处理动作选项将引用具体的“数据通道” 。 第一步: 点击“策略组”-“ 添加策略组”,如下图所示:创建一个名为 worktime 的策略组。提交。第二步:点击“编辑”键,对 worktime 策略组进行具体编辑。第三步:创建数据通道。先后点击“通道管理”-“添加数据通道” ,如下图所示:如上图所示:假如欲针对 P2P 协议做下行方向的速率限制规则,
6、则先定义一个数据通道:名为 p2p,通道类型选择“带宽限制”,通道方向选择“下行” ,在“通道带宽”中输入相应的数值,本例设置为 800,注意单位为 kbits/s,提交。结果如下图所示:至此数据通道创建完成,然后开始设置具体的策略。第四步:创建并编辑具体策略。先后点击“策略管理”-“添加策略” : 假如要做一条规则:限制内网 192.168.1.0/24 网段 P2P 协议下行速率为 800kbits/s,则创建规则过程如下图所示:如上图所示:指定规则序号 10 (1-65536 任意,系统将按照序号小的优先匹配,所以每条规则之间最好不要连续,这样方便随时插入新规则,比如创建 3 条规则,序
7、号分别为 10、20 、30,如临时有需要,可以加入序号为 15 的规则,系统将自动将其插入规则 10、20 之间),数据流向选择 “下行”,分别指定源、目的地址,应用协议选择“P2P 下载” ,执行动作选择“p2p” (此 p2p 即为刚才创建的限速 800kbits/s 的数据通道,在此作为具体的动作选项被引用),内网单 IP 限速 0,动作过后“停止匹配”,提交。(停止匹配的意思是指一旦匹配该规则,则所有被识别为“P2P 下载” 下行流量的数据包将直接根据该规则进行限速为800kbits/s 的处理,而不再继续往下匹配其他规则。而不符合该策略定义的其他协议的数据包将不受限制并且通过该条策
8、略继续匹配后面的策略直至被匹配)规则创建成功后,如下图所示:注:此时数据通道与策略均设置完成,注意点击上图中蓝色部分“让所有修改生效” 。每次创建或修改数据通道与策略时务必执行此步骤!写入系统并可以被执行的策略如下图所示:至此,策略部分创建并编辑完成,但策略并未即时生效,还需定义“策略计划表” 。2)创建策略计划表:系统按周执行策略计划,分别指定每天的策略执行时间。如下图所示:周一至周五上班时间(早 8:00-晚 18:00)执行 worktime 策略组,周六周日执行空策略组,不做任何限制。注:不同策略组可匹配不同的执行时间,也可以预先设置节日执行策略(五一、国庆、春节等)。经过以上编辑策略
9、组与编辑策略计划表,此时系统即开始按策略计划表定义的时间执行具体的策略。检验当前时间点策略是否生效的方法如下:点击“监控统计”-“系统概况”-“当前策略 ”(只有当前策略正确显示,才表明所做的策略组已正常工作,否则请返回策略组与策略计划表两处仔细检查确认),如下图所示:当系统运行中有流量匹配该策略时,通道行右端的流量(丢弃/通过)下方的数值将实时变化,比如3456/7788,表示有 7788 个数据包被判断为 P2P 下载协议类的下行流量,在 192.168.1.0/24 网段内所有正在使用的 P2P 应用下行流量达到策略定义的限速 800kbits/s 的速率上限后,共有 3456 个数据包
10、被丢弃。同理:策略行右端的“数据包”数值变化与其相同。附录:一、企业中常用的策略设置需求示范:1、假如要限制内网某个用户的最大下行总带宽为 512k,同时要限制他在使用 P2P 应用时的最大下行总带宽为 100k,这样的好处是使该用户在使用 P2P 下载的同时还有足够的带宽可用,不会影响到其他正常的网络应用。对于上述情形,可以通过以下规则实现:(假设其 IP 为 192.168.1.100), 10 any 192.168.1.100 任意协议 允许 单 IP 限速 512 继续匹配20 any 192.168.1.100 p2p 下载 允许 单 IP 限速 100 停止匹配规则创建过程如下三
11、个图表所示:图一:定义 192.168.1.100 下行可用总带宽为 512kb,注意“动作过后”选择“ 继续匹配”,否则系统将不会执行下一条限制其 P2P 下行可用带宽为 100kb 的策略。图二:定义 192.168.1.100 在使用 P2P 下载类软件时,P2P 下行流量的可用带宽“最大”为 100kb。注意:如果对于 192.168.1.100,还有其他规则适用,则“ 动作过后”选择“继续匹配”,否则选择“停止匹配” ,以提高系统的处理效率。同时注意要根据数据流向是上行还是下行正确区分并指定源地址、目的地址。(在Panabit 系统中,“上行” 指用户端到外网,“下行”指外网到用户端
12、。)两条规则设置完并“让所有修改生效 ”后,结果如下:(注:随后还需设置好 “策略计划表”,针对192.168.1.100 的这两条规则才会开始生效。)同理:a、将上述两规则中的 192.168.1.100 替换成网段 192.168.1.0/24,则变成对网段内所有 IP:每 IP 的下行总带宽 512kb,其中使用 P2P 下载软件时下行带宽最大可用 100kb,非 P2P 下载的其他应用的下行带宽至少可用 412kb ;b、如欲对网络中的个别或少数 IP(如特权用户、VIP 用户)的下行带宽不做限制,比如 192.168.1.99,仅对除 VIP 用户外的其他 IP 做限制,则将其放在第
13、一条策略中即可,注意“内网单 IP 限速”项填 0,(0表示不限速),并且动作过后“停止匹配 ”,该策略的设置如下图所示:二、对迅雷进行准确限速的策略设置:目前,迅雷在通讯时共使用 4 种协议进行数据传输:迅雷、脱兔、HTTP 分块传输、伪 IE 下载,所以设置策略时要针对这 4 种协议进行控制,下面的截图是一个示例:(策略生效时的截图,可看出具体的策略设置和生效后的匹配状况):本例中对内网每个 IP 设定下行可用总带宽为 512kb,然后将迅雷的下载速度限制在 40kb/s ,即 5kB/s, 规则生效后在“当前策略“下截图如下:注意: 1.限速迅雷相关的策略为 20、30、40、50 四条
14、。2.10 规则动作过后 要选择 “继续匹配“ ,否则下面的限速迅雷的规则一条都不会匹配,也不会生效。3.要对迅雷做准确的限速,最好的办法是先阻断迅雷协议,然后对 HTTP 分块传输、伪 IE 下载、脱兔三种协议进行控制。本例中将迅雷和脱兔阻断掉,然后对 HTTP 分块传输,伪 IE 下载分别限速 20Kbits/s,规则生效后效果非常理想。 三、关于带宽管理的三种机制:带宽管理机制包括:“带宽限制”、“带宽预留” 、“带宽保证”。各机制简单的描述如下:带宽限制 - 将某 IP/IP 组、协议/协议组的可用带宽限制在某个数值,即“最高可用到多少”。带宽预留 - 为某 IP/IP 组、协议/协议
15、组预先保留出某个数值的可用带宽,即“不管怎么样,就是那么多” 。带宽保证 - 为某 IP/IP 组、协议/协议组的可用带宽设置某个保证值,即“至少可用到多少”。举例如下:假如某单位出口带宽为 10M, 为 VIP/关键业务如视频会议“单独划分”出 2M,a、如果这 2M 带宽在数据通道中被定义为“带宽预留” ,则表示 VIP/关键业务的可用带宽永远为 2M,而其他 IP/业务 /应用的可用总带宽为 8M。不管 VIP/关键业务是否用得了还是不够用, 他们的可用带宽始终是2M,剩下其他人和其他应用永远“一起分享” 剩余的 8M 。b、如果这 2M 带宽在数据通道中被定义为“带宽保证” ,则表示 VIP/关键业务的可用带宽至少为 2M,而其他 IP/业务 /应用的可用带宽最多为 8M。如果在某一时刻,VIP/关键业务的 2M 带宽不够用了,那么系统会自动“借用” 其他 IP/业务/应用剩余的 8M 中空闲带宽直至满足其使用。
