Panabit是北京派网开发的基于FreeBSD Linux操作系统开发的应用层流量管理系统,特别针对P2P应用的识别与控制进行开发,其标准版可以免费使用,限制并发连接256个IP地址,足以满足绝大多数中小企业使用。
Panabit流控系统定位于网络设备级OS,需要安装在一台独立计算机中。Panabit发布的标准版,都是最新研究成果和最新稳定版本,无有效期等限制,完全可以满足DIY百兆级专业流控设备。
本节将介绍Panabit使用中的一些经验,包括安装、配置、升级等问题,通过本篇文章,可以让初学者快速入门,组建适合自己单位的流量管理系统。
1 Panabit体系结构
Panabit支持两种接入和部署方案:旁路监听与透明网桥模式。大多数用户使用后者。在 “透明网桥”模式中,Panabit以透明网桥方式部署在出口链路上,对出口链路上的双向流量进行协议分析、统计,同时根据所设定的规则对流量进行灵活的限制和分配。为避免Panabit遭受扫描、攻击,网桥上不需要配置IP地址,用户可通过专门的管理端口对Panabit进行配置管理。典型的部署方式如图1所示。
图1 Panabit的透明网桥模式
使用透明网桥模式接入,用户既可以统计流量,又可以做访问控制和带宽管理。
在“旁路监听”模式中,Panabit设备以旁路方式部署在交换机或路由器旁,通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。在旁路监听模式下,Panabit只能对流量做分析统计,而不能做控制。
图2 Panabit监控模式
许多初学者不理解“网桥”的意思。在Panabit中,网桥总是成对出现的,由两个网卡组成,一个网卡连接内网,一个网卡连接外网,数据通过这个网桥。Panabit对通过网桥的数据进行分析、控制。
2 Panabit安装
Panabit的计算机,硬件配置要求P3 800Mhz或以上、256M内存或以上、3块网卡,256MB以上电子盘或硬盘均可,光驱(安装软件用,安装完毕可以取下)。推荐使用Intel 系列网卡,也可以使用Rtl8139等网卡。
如果你是第一次使用Panabit,建议你从Panabit网站下载live CD版(是一个ISO镜像,大小只有10几兆),下载之后,刻录成光盘,用该光盘启动要安装Panabit的计算机,很快就可以安装完毕,安装步骤如下:
(1)在出现login后,使用用户名root、密码root登录(都是小写),如图3所示。
(2)登录之后,运行 ./setup启动安装,如图4所示。注意,在Setup前面有个斜线和英文的句点。
图3 登录
图4 启动安装程序
(3)在“Do you want to continue(y/n[n])?” 提示后输入y,然后按“回车键”,如果按其他键,将退出安装程序。
在“Please select one [da0]”提示后面直接按“回车键”;
在“ Do you want to continue(y/n[y])?”提示后面直接按“回车键”,如图5所示。
图5 确认安装
(4)安装完成后,选择用来管理Panabit的网卡。Panabit安装程序会列出当前已经安装好驱动程序的网卡,请选择其中一个用来管理,在我做实验的虚拟机中,显示em0、em1和em2。在“Please choose one of above as your admin interface”后面键入一个想用来管理的网卡,例如em0,然后按回车键,之后设置管理地址、子网掩码与网关地址,如图6所示。
需要注意,此设置的地址要能被局域网段的其他计算机访问到,并且Panabit管理网卡连接到正确的交换机端口上。如果你单独为Panabit设置了一个管理地址并单独添加到一个VLAN中,需要将Panabit管理网卡连接相应的交换机端口上。
图6 选择管理接口网卡和设置管理地址
(5)然后执行shutdown –r now重新启动计算机
3 让Panabit开始工作
重启后,在网络中的一台工作站上,连接到管理地址,在本例中,管理地址是https://192.168.1.33,Web管理用户名admin,口令panabit,如图7所示。你可以登录后修改这个密码。
图7 登录到Panabit
登录之后,在“网络配置→数据接口”中,设置应用模式,如果是“流量控制”模式,则需要设置网桥、并且要设置网桥的接入位置,这是非常重新的一步,如图8所示。
图8 数据接口
许多初学者,或者初次使用Panabit的用户,都会在此“犯错误”。所以,我们要重点介绍这些内容。
(1)如果你的Panabit计算机安装有三块网卡,其中一块网卡已经设置为管理网卡,则另外2块网卡,只能组成“一个网桥”;如果你的Panabit计算机有5块网卡,一块设置为管理网卡,另外4块网卡,每2个可以组成一个网桥,一共可以组成2个网桥。
(2)Panabit中可以支持4个网桥,当只有2块网卡组成一个网桥时,在“应用模式”中,选择同一个网桥名称就行了,例如网桥1,或者网桥2、3、4,只要是同一个就可以。
(3)注意网桥的方向。在选择了网桥的名称后,接到内网核心交换机上的网卡,在“接入位置”下拉列表中选择“接内网”,连接到路由器或防火墙的那块网卡,则选择“接外网”。
如果你分不清那块网卡是接内网、外网的,那也比较简单,随便从Panabit计算机上拔下一根网络来,然后在Panabit管理界面按F5刷新,如果不能再次管理Panabit,则说明拔下的是管理Panabit的网线,如果断下的是内网或外网网线,则会在“网络配置→数据接口”右侧相应网卡位置显示“电缆被断开”的类似提示。这时候就能分清那块网卡连接到那个网络了。
网桥的关键配置词是“网桥是成对出现的,并且网桥的方向有出有进”。
当配置好后,进入“监控统计”选项卡,当网桥的配置正确并且“内网”有计算机访问外网时,可以在“监控统计→整个系统”中,在左下角的饼形图中,可以看到不同的颜色(如图9所示),这表示Panabit已经开始工作;如果一直是个“灰色”,则表明Panabit没有工作,此时,内网的计算机也不能访问外网。
当Panabit开始工作后,系统先要保证网络的正常使用,不配置策略以纯桥方式进行流量分析,流量分析是逐步进行,初始时未知比例会很大并逐渐下降;通常24小时之后,各类流量比例才会趋于稳定,此时再根据流量分布比例,开始配置流量管理策略。策略设置好后的一周内,需要根据网络的实际运行情况和用户反馈状况做适当的调整直至恰当为止。
图9 监控统计
如果要修改管理地址,可以在“网络配置、管理接口”中设置,如图10所示。
图9 管理接口配置
4 Panabit策略设置
Panabit的策略设置比较简单,但需要注意以下几点:
在限制“内网”计算机访问Internet时,最好只是限制“速度”,而不要限制“并发连接”数。在实际使用中,如果限制了并发连接数,即使给用户很高的速度,用户访问网络也很慢;但在不限制并发连接数后,即使限制用户的速度,用户访问网络也非常快。
实例:某单位具有8M的出口带宽,长期稳定在线用户有70~90台计算机之间,在不限制内网计算机并发连接数的情况下,限制每个IP 800Kb/s的速度时,用户访问网络的速度就很快。
5 升级Panabit系统及特征库
在使用Panabit做流量监控时,包括其他的流量监控设备,需要及时升级特征库,才能及时的捕获新的协议(或新的应用)。Panabit在这方面做的也比较好。即使使用的是免费的版本,也可以很容易的获得升级的特征库并且完成升级。但许多初学者,不知道怎样才能下载到特征库,也不知道怎么升级,下面就说一说这个问题。
(1)检查Panabit流量监控软件中,安装的FreeBSD的版本。你可以在安装Panabit的计算机上,使用用户名root与密码root登录,在屏幕的第一行,显示了FreeBSD的版本,如图10所示。
图10 检查当前FreeBSD的版本
在本示例中,FreeBSD的版本是8.0。
(2)然后登录Panabit的官方网站,在http://www.panabit.com/download/index.html,下载基于FreeBSD 8.0的最新的Panabit安装包,而不是LiveCD安装镜像,也不要下载其他FreeBSD版本的安装包。在本例中,下载到安装程序为877KB大小、文件名为Panabit1001_fb8x.tar.gz。
(3)登录到Panabit管理界面,在“系统维护”选项卡中,进入“系统升级→系统升级”,在右侧,单击“浏览”按钮,浏览上一步下载到的安装程序,然后单击“上传升级包”按钮,如图11所示。
图11 上传升级包
上传完成后,在“系统升级→系统更新”中,单击“进行升级”链接,如图12所示。
图12 开始升级
大约20多秒后,升级完成,并弹出图13的对话框。
图13 升级完成
【注意】不要用不同版本的FreeBSD的Panabit安装程序升级,否则升级后,系统会不能使用。目前可以为基于FreeBSD的7.x与8.x版本的Panabit升级。
6重安装与升级
如果你以前安装的Panabit是基于FreeBSD 6.2版本的,则不能用刚才的方法升级,这个时候,可以将当前Panabit的策略导出、使用最新版本的Panabit安装、导入策略即可。主要步骤如下:
(1)在“系统维护→配置管理→配置导出”,在右侧单击鼠标右键导致配置到管理计算机。
(2)从Panabit网站下载最新的Panabit的LiveCD的安装镜像,刻录成光盘,重新安装Panabit。
(3)安装完成后,再次登录管理Panabit,登录“系统维护→配置管理→配置导入”,导入保存的策略。
图14 导入导出配置