Panabit技術(shù)講解_從頭開始了解Panabit

1、Copyright 2013 Panabit and/or its affiliates. All rights reserved.網(wǎng)關(guān)的終極未來北京派網(wǎng)軟件有限公司Copyright 2013 Panabit and/or its affiliates. All rights reserved.網(wǎng)絡的四個部分Page 2接入管理優(yōu)化審計Copyright 2013 Panabit and/or its affiliates. All rights reserved.Panabit的功能Page 3n 從部署模式來看-網(wǎng)橋部署-網(wǎng)關(guān)部署-旁路部署Copyright 2013 Panabit a

2、nd/or its affiliates. All rights reserved.Panabit的功能Page 4n 從功能上來看-應用識別（核心）-路由（靜態(tài)路由，NAT，NAT后路由，應用路由，DNS管控，緩存牽引，PPPOE服務器）-流量控制（動態(tài)限速，優(yōu)先級，帶寬保證）-上網(wǎng)行為管理（wifi共享控制，移動終端控制，http管控）-日志分析Copyright 2013 Panabit and/or its affiliates. All rights reserved.Panabit的功能Page 5n 從應用場景來看-企業(yè)行為管理（封wifi、視頻、購物、游戲，web認證）-網(wǎng)吧出

3、口（優(yōu)先級，動態(tài)限速，負載均衡，應用分流）-校園網(wǎng)出口（優(yōu)先級，帶寬保證，策略路由，應用分流）-小區(qū)網(wǎng)出口（PPPOE服務，認證計費，緩存牽引，負載均衡，應用分流，日志審計）-運營商出口優(yōu)化（高性能NAT，流量控制，DNS管控，游戲加速、應用分流，日志分析）-大數(shù)據(jù)分析Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 6網(wǎng)橋部署- Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 7網(wǎng)橋部署的設置將兩個數(shù)據(jù)口設置

4、為一組網(wǎng)橋，每組網(wǎng)橋?qū)膬蓚€接口是唯一的，一個接內(nèi)網(wǎng)，一個接外網(wǎng)?！敖觾?nèi)網(wǎng)”的端口接交換機，“接外網(wǎng)”的端口接路由器。Copyright 2013 Panabit and/or its affiliates. All rights reserved.錯誤（一）每組網(wǎng)橋由兩個數(shù)據(jù)網(wǎng)卡組成，并且它們的網(wǎng)橋名稱也相同。每組網(wǎng)橋由兩個數(shù)據(jù)網(wǎng)卡組成，并且它們的網(wǎng)橋名稱也相同。Copyright 2013 Panabit and/or its affiliates. All rights reserved.錯誤的設置（二）網(wǎng)橋只能是一進一出！網(wǎng)橋只能是一進一出！不能一進兩出，也不能兩進一出，并且相同的網(wǎng)

5、橋名稱不能超過兩個不能一進兩出，也不能兩進一出，并且相同的網(wǎng)橋名稱不能超過兩個Copyright 2013 Panabit and/or its affiliates. All rights reserved.錯誤設置（三）錯誤：在有鏈路匯聚環(huán)境的時候，認為網(wǎng)橋也能夠這樣匯聚起來。Copyright 2013 Panabit and/or its affiliates. All rights reserved.在有匯聚的情況下，網(wǎng)橋應該這樣設置在有匯聚的情況下，網(wǎng)橋應該這樣設置Copyright 2013 Panabit and/or its affiliates. All rights re

6、served.測試網(wǎng)橋是否通Copyright 2013 Panabit and/or its affiliates. All rights reserved.360WIFI控制1禁止私接wifi手機共享2禁止私接路由給PC共享Copyright 2013 Panabit and/or its affiliates. All rights reserved.創(chuàng)建策略組Copyright 2013 Panabit and/or its affiliates. All rights reserved.場景（一）在沒有wifi覆蓋的網(wǎng)絡。阻斷接入的手機Copyright 2013 Panabit a

7、nd/or its affiliates. All rights reserved.在策略組里添加策略Copyright 2013 Panabit and/or its affiliates. All rights reserved.序號：100常用條件：全“任意”用戶特征：移動設備數(shù)不小于“1”執(zhí)行動作：“阻斷”Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略做好以后，要調(diào)度策略組Copyright 2013 Panabit and/or its affiliates. All rights reserv

8、ed.1，缺省策略組：默認使用的策略組；2，策略調(diào)度表：可以根據(jù)時間，在線人數(shù)等條件進行策略調(diào)度；當滿足調(diào)度表條件時，優(yōu)先使用調(diào)度表匹配條件的策略。3，在任一時刻，最多只會有一個策略組被調(diào)度在任一時刻，最多只會有一個策略組被調(diào)度Copyright 2013 Panabit and/or its affiliates. All rights reserved.當前匹配的調(diào)度表項，會以藍色大字顯示。Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略調(diào)度成功后，在監(jiān)控統(tǒng)計-當前策略-流量控制里，會顯示當前調(diào)度的策略

9、組。Copyright 2013 Panabit and/or its affiliates. All rights reserved.場景（二）有WIFI覆蓋禁止私接WIFICopyright 2013 Panabit and/or its affiliates. All rights reserved.首先區(qū)分，哪些是公共WIFI，哪些是私接WIFI。Copyright 2013 Panabit and/or its affiliates. All rights reserved.先將公用WIFI的IP放行Copyright 2013 Panabit and/or its affiliat

10、es. All rights reserved.Copyright 2013 Panabit and/or its affiliates. All rights reserved.共享檢測技術(shù)Page 26n 共享檢測技術(shù)簡述- DPI應用檢測- 通用數(shù)據(jù)包檢測（IPID軌跡）-移動終端檢測Copyright 2013 Panabit and/or its affiliates. All rights reserved.DPI應用檢測方式Page 27n 原理- 某些應用程序在進行數(shù)據(jù)交互的時候，一些數(shù)據(jù)包中會帶有本地網(wǎng)卡的IP信息，Panabit的DPI引擎能獲取到這些IP地址的信息，以此為

11、依據(jù)判斷有共享用戶。n 特點 - 能知道具體共享的內(nèi)網(wǎng)IP地址，檢測準確。 - 這個檢測是在DPI識別順帶的，性能上的消耗可以忽略。 - 這只是某些應用程序的特性，比如迅雷、暴風等P2P類軟件。Copyright 2013 Panabit and/or its affiliates. All rights reserved.通用數(shù)據(jù)包檢測Page 28n 原理-過記錄數(shù)據(jù)包的IPID，繪出IPID的軌跡，以此為依據(jù)判斷有共享用戶。n 特點 - 只檢測WINXP和WIN7系統(tǒng)。 - 客戶機上網(wǎng)就能檢測到，無需特別應用。 - 這樣的檢測十分靈敏，一臺客戶機也可能產(chǎn)生多條軌跡。 - 開啟通用數(shù)據(jù)包檢

12、測，會消耗一定的系統(tǒng)資源，因此這種方式最多檢測6個共享。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 29通用數(shù)據(jù)包檢測（IPID軌跡）- 標識（identification）：數(shù)據(jù)報的標識，用來標識出數(shù)據(jù)長度超過MTU分片時，進行重新組裝數(shù)據(jù)的位置標識。這部分通常用來分析共享上網(wǎng)的特征。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 30IPID軌跡檢測當啟用“通用數(shù)據(jù)包檢測”時，Panabit會根據(jù)時間

13、和數(shù)據(jù)包的IPID繪圖，在每一臺內(nèi)網(wǎng)機器作地址轉(zhuǎn)換時，IPID的序號是沒變化的，而每臺機器又是隨機從一個數(shù)開始，有規(guī)律單調(diào)增加，如果某一IP下共享了多臺客戶機，由于每臺客戶機IPID的起始值不同，那么在一段時間內(nèi)，繪圖就會發(fā)現(xiàn)多條軌跡，那么Panabit就會認為有多個共享用戶。每條軌跡代表一個共享用戶。 Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 31IPID軌跡檢測配置參數(shù)floweye ipidtracker stat 查看當前配置ipid_enable=1 1開啟，0關(guān)閉ipid_learn

14、max=64 判斷IPID連續(xù)包的軌跡ipid_maxskip=8 單機數(shù)據(jù)包最大缺失個數(shù)，大于不屬于1個IPipid_minskip=6 數(shù)據(jù)包缺失個數(shù)，小于屬于1個IPipid_ttl=50 軌跡老化時間修改配置舉例floweye ipidtracker config ipid_ttl=10 把軌跡的老化時間設置為10秒Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 32移動終端檢測n原理 - 根據(jù)數(shù)據(jù)包里包含的一些特殊字段，來判斷數(shù)據(jù)包是來自移動設備n特點 - 識別準確Copyright 201

15、3 Panabit and/or its affiliates. All rights reserved.Page 33移動終端數(shù)據(jù)包數(shù)據(jù)包里包含的操作系統(tǒng)和硬件型號信息Copyright 2013 Panabit and/or its affiliates. All rights reserved.共享檢測的設置移動終端的老化時間調(diào)整命令：floweye dpi config mob_ttl=XXXXXX為老化的時間，單位是秒Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 預期效果：不允許

16、使用路由器，阻斷所有的共享。關(guān)閉通用數(shù)據(jù)包檢測Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 預期效果：允許使用路由器，但是PC和移動設備不能同時使用。關(guān)閉通用數(shù)據(jù)包檢測Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 預期效果：允許使用路由器，PC控制在1-2以內(nèi)。開啟通用數(shù)據(jù)包檢測Copyright 2013 Panabit and/or its affiliates. All righ

17、ts reserved.Page 38旁路監(jiān)控部署Copyright 2013 Panabit and/or its affiliates. All rights reserved.應用場景 內(nèi)網(wǎng)流量監(jiān)控 運營商出口優(yōu)化（結(jié)合panalog） 大數(shù)據(jù)分析（結(jié)合panalog）Copyright 2013 Panabit and/or its affiliates. All rights reserved.設置1-上行與下行分別鏡像到兩個數(shù)據(jù)接口1）設置Panabit的數(shù)據(jù)接口的工作模式為“監(jiān)控模式”；2）將Panait的數(shù)據(jù)接口與交換機互聯(lián)；3）設置交換機與路由lan口連接的端口為“被鏡像端口

18、”；4）設置“被鏡像端口”的上行數(shù)據(jù)，鏡像到交換機與Panabit“接內(nèi)網(wǎng)”互聯(lián)的端口上；5）設置“被鏡像端口”的下行數(shù)據(jù)，鏡像到交換機與Panabit“接外網(wǎng)”互聯(lián)的端口上；Copyright 2013 Panabit and/or its affiliates. All rights reserved.設置2-上行與下行都鏡像到一個數(shù)據(jù)接口1）設置Panabit的數(shù)據(jù)接口的工作模式為“監(jiān)控模式”；2）將Panait的一個數(shù)據(jù)接口與交換機互聯(lián)，并且設置為“接內(nèi)網(wǎng)”；3）設置交換機與路由lan口連接的端口為“被鏡像端口”；4）設置“被鏡像端口”的上行和下行數(shù)據(jù)，鏡像到交換機與Panabit“接

19、內(nèi)網(wǎng)”互聯(lián)的端口上；5）開啟偽IP防護，并且填入內(nèi)網(wǎng)IP段Copyright 2013 Panabit and/or its affiliates. All rights reserved.單個“數(shù)據(jù)接口”接收上行和下行流量時，打開“偽IP防護”功能，將內(nèi)網(wǎng)IP地址段填進去?！皞蜪P防護”功能打開后，實際上就告訴了Panabit，哪些IP是內(nèi)網(wǎng)的。源地址為內(nèi)網(wǎng)IP的流量就是上行流量；源地址為外網(wǎng)IP的就是下行流量。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 43網(wǎng)關(guān)部署 Copyright 201

20、3 Panabit and/or its affiliates. All rights reserved.路由的概念路由：是路由器指從一個接口上收到數(shù)據(jù)包，轉(zhuǎn)發(fā)到另一個接口的過程。我們常常會把NAT當做路由。NAT指的是地址轉(zhuǎn)換，它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）轉(zhuǎn)換成合法網(wǎng)絡IP地址的技術(shù)。在NAT動作之后，轉(zhuǎn)發(fā)到下一跳（下個路由器），這個過程才是路由。Copyright 2013 Panabit and/or its affiliates. All rights reserved.第一步確定“數(shù)據(jù)接口”的“角色”網(wǎng)關(guān)部署的設置網(wǎng)關(guān)部署的設置“接內(nèi)網(wǎng)”可用于“LAN接口”和“PPPOE服

21、務器”“接外網(wǎng)”可以用于“WAN線路”和“PPPOE旁路”Copyright 2013 Panabit and/or its affiliates. All rights reserved.第二步，設置接口線路Copyright 2013 Panabit and/or its affiliates. All rights reserved.設置WAN線路時的注意事項。接口名稱：盡量不用特殊符號。心跳服務器IP：wan線路會自動ping這個心跳IP，來判斷這條wan線路和外網(wǎng)是否是通的。如果ping不通，則認為這條線路是不可用的。啟用防封殺：如果啟用由這條wan線路出去的數(shù)據(jù)包的IPID會是連續(xù)

22、的。IP地址與網(wǎng)關(guān)地址：這里我們不需要填掩碼，只要IP與網(wǎng)關(guān)地址二層上能互通即可。DNS服務器地址：做DNS管控的策略時才會用到。Copyright 2013 Panabit and/or its affiliates. All rights reserved.第三步，設置策略路由Copyright 2013 Panabit and/or its affiliates. All rights reserved.LAN到LAN的路由LAN到LAN的路由主要作用是實現(xiàn)兩個不同網(wǎng)段之間的互訪。Copyright 2013 Panabit and/or its affiliates. All righ

23、ts reserved.LAN到WAN的路由例如，將訪問 /16這個目的網(wǎng)絡，路由到WAN線路策略里與LAN到LAN的路由策略的區(qū)別就是，路由線路選擇一條WAN線路。與NAT的區(qū)別就是，數(shù)據(jù)包的源地址沒有改變，后面設備看到數(shù)據(jù)包的源地址不會是WAN線路的地址。Copyright 2013 Panabit and/or its affiliates. All rights reserved.NAT后路由NAT后選路就是，先進將源地址NAT成“NAT線路”的地址(NAT線路可以是一個線路群組)，然后再從另一條wan線路路由出去。這個功能常用與運營商之間的私網(wǎng)互聯(lián)和“光纖走上行A

24、D走下行”Copyright 2013 Panabit and/or its affiliates. All rights reserved.負載均衡WAN線路的負載均衡PPPOE接口的負載均衡Copyright 2013 Panabit and/or its affiliates. All rights reserved.WAN線路的負載均衡線路群組將就若干條線路組合在一起內(nèi)置了8個線路組WAN線路可以放到不同的線路組中是基本連接的負載均衡，而不是數(shù)據(jù)包，這和傳統(tǒng)骨干路由器上的負載均衡有顯著的差別。Copyright 2013 Panabit and/or its affiliates. A

25、ll rights reserved.設置群組負載類型目前有四種方式：源地址、目的地址、源負載類型目前有四種方式：源地址、目的地址、源+ +目、地址目、地址+ +端口。端口。我們可以根據(jù)應用特點來選擇負載類型，例如網(wǎng)銀登陸，必須我們可以根據(jù)應用特點來選擇負載類型，例如網(wǎng)銀登陸，必須IPIP一致，那么我們可以選擇源地址負載；一致，那么我們可以選擇源地址負載；P2PP2P的應用連接多、流的應用連接多、流量大。那么就用地址量大。那么就用地址+ +端口負載。這樣相對比較均衡。端口負載。這樣相對比較均衡。相同的鏈路可以加到不同的群組。比如有相同的鏈路可以加到不同的群組。比如有1010條鏈路，條鏈路， 把

26、這把這1010條鏈路同時全部加入條鏈路同時全部加入A A群組和群組和B B群組，群組，A A群組以群組以“源地址源地址”的方式的方式負載，負載，B B群組以群組以“地址地址+ +端口端口”的方式負載。我們可以把網(wǎng)頁走的方式負載。我們可以把網(wǎng)頁走A A群組，群組，P2PP2P走走B B群組，這樣群組，這樣1010條線路即解決了網(wǎng)銀條線路即解決了網(wǎng)銀IPIP驗證的問題驗證的問題，也解決了均衡的問題，也解決了均衡的問題 Copyright 2013 Panabit and/or its affiliates. All rights reserved.添加線路+按鈕，用來添加線路群組的成員，把需要負載

27、均衡的wan線路添加到群組里Copyright 2013 Panabit and/or its affiliates. All rights reserved.添加線路點+按鈕后，會列出可以添加的WAN線路權(quán)重：負載連接的比例，可選1-10。這里以各個線路之間的帶寬比例為參考，帶寬越大權(quán)重越高Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略路由在策略路由的策略中，目標線路調(diào)用相應的線路群組。Copyright 2013 Panabit and/or its affiliates. All rights re

28、served.PPPOE服務器的負載均衡多個物理接口對應多個PPPOE服務器，每個PPPOE服務器設置一個最大接入，當一個PPPOE服務器接入到上限后，就不會再接入用戶，而其它沒有達到上限的PPPOE服務器就會繼續(xù)接入，從而現(xiàn)實各個網(wǎng)卡接入用戶均衡。Copyright 2013 Panabit and/or its affiliates. All rights reserved.DNS管控DNS管控就是針對滿足策略條件的DNS的數(shù)據(jù)包做下列的動作。條件路徑（網(wǎng)橋）、VLAN、源接口（LAN接口）、源地址、DNS服務器（目的地址）、訪問域名動作允許、丟棄、重定向、劫持Copyright 2013

29、 Panabit and/or its affiliates. All rights reserved.重定向重定向的目標是一條線路，作用是把請求域名解析的DNS服務器地址改變。Copyright 2013 Panabit and/or its affiliates. All rights reserved.重定向?qū)崿F(xiàn)原理假設WAN線路IP是78，DNS服務器是0。重定向后，對數(shù)據(jù)包的源地址和目的地址都做了一次改變。本來去14解析域名，變成了到0上去解析。由于DNS服務器不同，解析的結(jié)果也肯定會不一樣。Copyright 2013 Panabit and/or its affiliates. All rights reserved.劫持劫持就是將域名的解析結(jié)果，變成一個固定的IPCopyright 2013 Panabit and/or its affiliates. All rights reserved.劫持的效果演示解析，9是正常的結(jié)果劫持后，解析，得到的結(jié)果變成了1.