Panabit簡(jiǎn)明配置手冊(cè)

1、Panabit簡(jiǎn)明配置手冊(cè)1 . Web管理界面(1)登陸Web界面：(IP地址是登陸Web界面前，在FreeBSD系統(tǒng)臨時(shí)設(shè)置的IP地址)使用ifconfig命令不加參數(shù)，即可查看系統(tǒng)識(shí)別的網(wǎng)卡設(shè)備名稱和激活連線狀態(tài)，找到連上網(wǎng)線Active的網(wǎng)卡，使用ifconfig fxp0 臨時(shí)指定IP地址(此列fxp0是第一塊intel網(wǎng)卡的設(shè)備名稱，F(xiàn)reeBSD下不同網(wǎng) 卡的設(shè)備名稱不同，不同于 Linux下以eth0、eth1這樣順序編號(hào))。提示：Panabit不使用FreeBSD系統(tǒng)的網(wǎng)絡(luò)配置文件，通過(guò)命令行指定的IP地址僅臨時(shí)使用，啟動(dòng)Panabit 時(shí)，根據(jù)Panabit系統(tǒng)的網(wǎng)絡(luò)配置文

2、件初始化，所以網(wǎng)絡(luò)設(shè)置須通過(guò)登陸 Web管理界面進(jìn)行設(shè)置并提交后才會(huì)永久有效。2 2) Web界面缺省用戶名、密碼：用戶名：admin密碼：panabit3 .配置管理Panabit配置管理分為三個(gè)部分：網(wǎng)絡(luò)設(shè)置、系統(tǒng)參數(shù)、策略管理，其中主要的是策略管理。(1)網(wǎng)絡(luò)設(shè)置：工作模式與IP地址：示例：如下圖所示，em0與em1構(gòu)成網(wǎng)橋，分別連接外網(wǎng)與內(nèi)網(wǎng)；em2做為管理口配置管理IP。(如需工作在監(jiān)聽(tīng)模式，只需點(diǎn)擊對(duì)應(yīng)網(wǎng)卡的配置”選擇 監(jiān)聽(tīng)模式”并輸入IP即可)缺省網(wǎng)關(guān)：輸入缺省網(wǎng)關(guān)，提交即可。注：系統(tǒng)工作在網(wǎng)橋模式時(shí)，輸入缺省網(wǎng)關(guān)的意義在于：對(duì)于那些加密的 P2P 協(xié)議，必須保證 Panabit

3、 自 身可以訪問(wèn)到外網(wǎng)，主動(dòng)探測(cè)引擎才可正常工作，否則這些加密協(xié)議將有可能被識(shí)別為未知應(yīng)用。(2) 系統(tǒng)參數(shù)：內(nèi)網(wǎng) IP 統(tǒng)計(jì)：IP選擇是否打開(kāi)內(nèi)網(wǎng) IP 流量統(tǒng)計(jì)功能，并設(shè)置內(nèi)網(wǎng) IP 最大空閑時(shí)間(規(guī)定時(shí)間內(nèi)無(wú)任何流量動(dòng)作的空閑將被系統(tǒng)自動(dòng)從統(tǒng)計(jì)庫(kù)中刪除)，提交。注： 內(nèi)網(wǎng) IP 流量統(tǒng)計(jì)功能是為中小企業(yè)用戶量身定做的一項(xiàng)特色功能。 由于該功能會(huì)相應(yīng)的降低系統(tǒng)的一些性能，所以在運(yùn)營(yíng)商及用戶數(shù)量龐大的網(wǎng)絡(luò)中，如需首要保證性能，則建議關(guān)閉此功能。 （缺省狀態(tài)下，該功能為打開(kāi)狀態(tài)。）出口帶寬：指定網(wǎng)絡(luò)出口的上、下行帶寬，啟用帶寬預(yù)留和帶寬保證時(shí)，需要輸入此項(xiàng)，指明上下行最大帶寬，注意此處的單位是

4、kbps 。（缺省值為0，即是關(guān)閉帶寬預(yù)留和帶寬保證功能狀態(tài)。）（3）策略管理：Panabit 策略配置設(shè)計(jì)思路： Panabit 策略配置管理系統(tǒng)中，設(shè)置策略并使之生效必須完成兩個(gè)步驟：創(chuàng)建并編輯策略組、創(chuàng)建策略計(jì)劃表。其中在編輯策略的動(dòng)作選項(xiàng)中，缺省僅有允許、阻斷兩個(gè)動(dòng)作。如需執(zhí)行其他動(dòng)作如帶寬限速、帶寬保證、帶寬預(yù)留，則需要先行創(chuàng)建數(shù)據(jù)通道，在 “通道類型 ”中選擇相應(yīng)的動(dòng)作類型，創(chuàng)建數(shù)據(jù)通道完畢后，在編輯策略時(shí)，數(shù)據(jù)通道名將出現(xiàn)在動(dòng)作選項(xiàng)中，即可在動(dòng)作選項(xiàng)中選擇已定義的數(shù)據(jù)通道，設(shè)定不同類型的詳細(xì)策略。策略組配置完成，僅表示預(yù)配置了策略，需要加載至策略計(jì)劃表，才生效。具體示例請(qǐng)參看以下

5、步驟：1） 創(chuàng)建并編輯策略組：注： 策略組包括 “通道管理 ”與 “策略管理 ”兩部分， 需分別創(chuàng)建； 策略設(shè)置時(shí)的處理動(dòng)作選項(xiàng)將引用具體的 “數(shù)據(jù)通道 ” 。第一步： 點(diǎn)擊 “策略組 ” “添加策略組 ”，如下圖所示：創(chuàng)建一個(gè)名為 worktime 的策略組。提交。第二步：點(diǎn)擊 “編輯 ”鍵，對(duì) worktime 策略組進(jìn)行具體編輯。第三步：創(chuàng)建數(shù)據(jù)通道。先后點(diǎn)擊 “通道管理”- “添加數(shù)據(jù)通道 ”，如下圖所示：如上圖所示：假如欲針對(duì) P2P 協(xié)議做下行方向的速率限制規(guī)則，則先定義一個(gè)數(shù)據(jù)通道：名為 p2p ，通道類型選擇 “帶寬限制 ”，通道方向選擇 “下行 ”，在 “通道帶寬 ”中輸入相

6、應(yīng)的數(shù)值，本例設(shè)置為 800 ，注意單位 為 kbits/s ，提交。結(jié)果如下圖所示：至此數(shù)據(jù)通道創(chuàng)建完成，然后開(kāi)始設(shè)置具體的策略。第四步：創(chuàng)建并編輯具體策略。先后點(diǎn)擊 “策略管理 ”- “添加策略 ”：假如要做一條規(guī)則：限制內(nèi)網(wǎng)網(wǎng)段P2P 協(xié)議下行速率為800kbits/s ，則創(chuàng)建規(guī)則過(guò)程如下圖所示：如上圖所示：指定規(guī)則序號(hào) 10 （ 1-65536 任意，系統(tǒng)將按照序號(hào)小的優(yōu)先匹配，所以每條規(guī)則之間最好不要連續(xù)，這樣方便隨時(shí)插入新規(guī)則，比如創(chuàng)建 3 條規(guī)則，序號(hào)分別為 10 、 20 、 30 ，如臨時(shí)有需要，可以加入序號(hào)為15 的規(guī)則，系統(tǒng)將自動(dòng)將其插入規(guī)則 10 、 20 之間），數(shù)

7、據(jù)流向選擇 “下行 ” ，分別指定源、目的地址，應(yīng)用協(xié)議選擇"P2P下載”，執(zhí)行動(dòng)作選擇“p2p”（此p2P即為剛才創(chuàng)建的限速800kbits/s的數(shù)據(jù)通道，在此作為具體的動(dòng)作選項(xiàng)被引用），內(nèi)網(wǎng)單IP 限速0，動(dòng)作過(guò)后“停止匹配” ，提交。（停止匹配的意思是指一旦匹配該規(guī)則，則所有被識(shí)別為“P2P下載”下行流量的數(shù)據(jù)包將直接根據(jù)該規(guī)則進(jìn)行限速為800kbits/s 的處理，而不再繼續(xù)往下匹配其他規(guī)則。而不符合該策略定義的其他協(xié)議的數(shù)據(jù)包將不受限制并且通過(guò)該條策略繼續(xù)匹配后面的策略直至被匹配） 規(guī)則創(chuàng)建成功后，如下圖所示：每次創(chuàng)建或修改數(shù)據(jù)注：此時(shí)數(shù)據(jù)通道與策略均設(shè)置完成，注意點(diǎn)擊上圖

8、中藍(lán)色部分 “讓所有修改生效通道與策略時(shí)務(wù)必執(zhí)行此步驟！寫(xiě)入系統(tǒng)并可以被執(zhí)行的策略如下圖所示：至此，策略部分創(chuàng)建并編輯完成，但策略并未即時(shí)生效，還需定義 “策略計(jì)劃表2）創(chuàng)建策略計(jì)劃表：系統(tǒng)按周執(zhí)行策略計(jì)劃，分別指定每天的策略執(zhí)行時(shí)間。如下圖所示：周一至周五上班時(shí)間（早晚 18 ： 00 ）執(zhí)行 worktime 策略組，周六周日?qǐng)?zhí)行空策略組，不做任何限制。8 ： 00-注：不同策略組可匹配不同的執(zhí)行時(shí)間，也可以預(yù)先設(shè)置節(jié)日?qǐng)?zhí)行策略（五一、國(guó)慶、春節(jié)等）。經(jīng)過(guò)以上編輯策略組與編輯策略計(jì)劃表，此時(shí)系統(tǒng)即開(kāi)始按策略計(jì)劃表定義的時(shí)間執(zhí)行具體的策略。檢驗(yàn)當(dāng)前時(shí)間點(diǎn)策略是否生效的方法如下：點(diǎn)擊 “監(jiān)控統(tǒng)

9、計(jì)”- “系統(tǒng)概況”- “當(dāng)前策略 ” （只有當(dāng)前策略正確顯示，才表明所做的策略組已正常工作，否則請(qǐng)返回策略組與策略計(jì)劃表兩處仔細(xì)檢查確認(rèn)），如下圖所示：當(dāng)系統(tǒng)運(yùn)行中有流量匹配該策略時(shí)，通道行右端的流量（丟棄/通過(guò)）下方的數(shù)值將實(shí)時(shí)變化，比如3456/7788 ，表示有 7788 個(gè)數(shù)據(jù)包被判斷為P2P 下載協(xié)議類的下行流量，在網(wǎng)段內(nèi)所有正在使用的 P2P應(yīng)用下行流量達(dá)到策略定義的限速800kbits/s 的速率上限后，共有3456 個(gè)數(shù)據(jù)包被丟棄。同理：策略行右端的 “數(shù)據(jù)包 ”數(shù)值變化與其相同。附錄 ： 一、企業(yè)中常用的策略設(shè)置需求示范：1 、假如要限制內(nèi)網(wǎng)某個(gè)用戶的最大下行總帶寬為 51

10、2k ，同時(shí)要限制他在使用 P2P 應(yīng)用時(shí)的最大下行總帶寬為 100k ，這樣的好處是使該用戶在使用 P2P 下載的同時(shí)還有足夠的帶寬可用，不會(huì)影響到其他正常的網(wǎng)絡(luò)應(yīng)用。對(duì)于上述情形，可以通過(guò)以下規(guī)則實(shí)現(xiàn)： （假設(shè)其 IP 為，10 any ->任意協(xié)議 允許單 IP 限速512 繼續(xù)匹配20 any ->p2p 下載 允許單 IP 限速100 停止匹配規(guī)則創(chuàng)建過(guò)程如下三個(gè)圖表所示：圖一：定義下行可用總帶寬為 512kb ，注意 “動(dòng)作過(guò)后 ”選擇 “繼續(xù)匹配 ”，否則系統(tǒng)將不會(huì)執(zhí)行下一條限制其P2P 下行可用帶寬為 100kb 的策略。圖二：定義在使用 P2P 下載類軟件時(shí)， P

11、2P 下行流量的可用帶寬 “最大 ”為 100kb 。注意：如果對(duì)于，還有其他規(guī)則適用，則 “動(dòng)作過(guò)后 ”選擇 “繼續(xù)匹配” ，否則選擇“停止匹配 ”，以提高系統(tǒng)的處理效率。同時(shí)注意要根據(jù)數(shù)據(jù)流向是上行還是下行正確區(qū)分并指定源地址、目的地址。（在Panabit 系統(tǒng)中， “上行 ”指用戶端到外網(wǎng)， “下行 ”指外網(wǎng)到用戶端。 ）兩條規(guī)則設(shè)置完并 “讓所有修改生效”后，結(jié)果如下：（注：隨后還需設(shè)置好 “策略計(jì)劃表”，針對(duì)的這兩條規(guī)則才會(huì)開(kāi)始生效。）同理：a、將上述兩規(guī)則中的替換成網(wǎng)段，則變成對(duì)網(wǎng)段內(nèi)所有IP:每IP的下行總帶寬512kb ,其中使用P2P下載軟件時(shí)下行帶寬最大可用 100kb ，

12、非 P2P 下載的其他應(yīng)用的下行帶寬至少可用 412kb ；b、如欲對(duì)網(wǎng)絡(luò)中的個(gè)別或少數(shù) IP （如特權(quán)用戶、VIP用戶）的下行帶寬不做限制，比如，僅對(duì)除 VIP用戶外的其他IP 做限制，則將其放在第一條策略中即可，注意 “內(nèi)網(wǎng)單 IP 限速 ”項(xiàng)填 0 ，（ 0 表示不限速），并且動(dòng)作過(guò)后 “停止匹配” ，該策略的設(shè)置如下圖所示：二、對(duì)迅雷進(jìn)行準(zhǔn)確限速的策略設(shè)置：目前，迅雷在通訊時(shí)共使用 4 種協(xié)議進(jìn)行數(shù)據(jù)傳輸：迅雷、脫兔、 HTTP 分塊傳輸、偽IE 下載，所以設(shè)置策略時(shí)要針對(duì)這4 種協(xié)議進(jìn)行控制，下面的截圖是一個(gè)示例：（策略生效時(shí)的截圖，可看出具體的策略設(shè)置和生效后的匹配狀況）：本例中對(duì)

13、內(nèi)網(wǎng)每個(gè)IP 設(shè)定下行可用總帶寬為512kb ，然后將迅雷的下載速度限制在 40kb/s , 即 5kB/s, 規(guī)則生效后在 " 當(dāng)前策略 "下截圖如下:注意 :1. 限速迅雷相關(guān)的策略為20、 30、 40 、 50 四條。規(guī)則動(dòng)作過(guò)后要選擇"繼續(xù)匹配" ，否則下面的限速迅雷的規(guī)則一條都不會(huì)匹配，也不會(huì)生效。3.要對(duì)迅雷做準(zhǔn)確的限速,最好的辦法是先阻斷迅雷協(xié)議,然后對(duì)HTTP 分塊傳輸、偽IE 下載、脫兔三種協(xié)議進(jìn)行控制。本例中將迅雷和脫兔阻斷掉，然后對(duì) HTTP 分塊傳輸，偽IE 下載分別限速20Kbits/s ，規(guī)則生效后效果非常理想。三、關(guān)于帶寬管理的三種機(jī)制: 帶寬管理機(jī)制包括： “帶寬限制 ”、 “帶寬預(yù)留 ”、 “帶寬保證 ”。各機(jī)制簡(jiǎn)單的描述如下：帶寬限制 將某 IP/IP 組、協(xié)議/協(xié)議組的可用帶寬限制在某個(gè)數(shù)值，即“最高可用到多少即 “不管怎么樣， 就是那么多帶寬預(yù)留 為某 IP/IP 組、 協(xié)議/協(xié)議組預(yù)先保留出某個(gè)數(shù)值的可用帶寬，帶寬保證 為某 IP/IP 組、協(xié)議/協(xié)議組的可用帶寬設(shè)置某個(gè)保證值，即“至少可用到多少 舉例如下： 假如某單位出口帶寬為 10M ， 為 VIP/ 關(guān)鍵業(yè)務(wù)如視頻會(huì)議 “單獨(dú)劃分 ”出 2M ，a、如果這2M帶寬在數(shù)據(jù)通道中被定義為帶寬預(yù)留”，則表示VIP/關(guān)鍵業(yè)務(wù)的可用帶寬永遠(yuǎn)為2M,而