流控管理配置手册

Panabit流控管理配置手册(核心代号shang，V8.05)北京三棱镜软件工作室2008.06北京三棱镜软件工作室目录目录.....................................................2前言.......................................................30.系统检查................................................40.1确认系统时间........................................40.2查看数据网卡POLLING选项.............................40.3关闭CPU超线程.......................................40.4配置与测试网桥......................................50.5修改口令............................................51．网络配置................................................51.1管理接口............................................61.2数据接口............................................72．对象管理................................................72.1自定义协议..........................................72.2IP群组.............................................82.3自定义协议组........................................93．流量管理................................................93.1网桥带宽............................................93.2内网IP统计.........................................103.3数据通道...........................................113.4策略组.............................................113.5策略调度...........................................174．监控统计...............................................194.1分桥统计...........................................194.2网络接口...........................................204.3应用协议...........................................205．系统维护...............................................21附录......................................................22P2P下载控制............................................22迅雷、超级旋风控制示例.................................22Panabit应用协议样本抓包方法............................24页/共26页北京三棱镜软件工作室前言感谢您使用Panabit流控产品！Panabit应用层流量管理产品，是在互联网P2P(Peer-to-Peer)应用广泛流行的背景下，诞生的新一代应用层QOS产品。Panabit流控是真正一款应用层级流控产品，基于连接过程和协议特征识别，对于加密协议采用主动探测引擎，经过一套完整的识别流程，准确识别应用，精确定位具体的软件客户端，把应用可视化提高到一个新的阶段。Panabit流控系统能帮助宽带运营网管实时了解网络应用层流量状态及应用概况，进行流量管理，提高网络运行效率。流控产品，是一个典型的服务型产品，需要根据互联网应用的变化，不断改进协议识别引擎和更新协议特征库，才能保证流控的效果。应用层协议识别的重点和难点是P2P应用，P2P流控是应用层流控的核心；互联网不断有新增加的应用，已有的应用为了逃避流控设备监管，采用技术对抗方法，伪装和变换协议特征，甚至整个趋势向加密方向发展，这使得流控产品的技术要跟踪、适应或超越这些变化，才能为用户提供良好的服务。Panabit流控产品，为了适应互联网应用的快速变化，有专门的研发团队跟踪研究，采用抓包的方法不断收集分析协议样本，利用自主开发、描述能力强的“协议特征描述语言”—PSDL(ProtocolSignatureDescriptionLanguage)，维护协议特征库，快速提供给用户升级。Panabit流控引擎，系统升级正常3个月升级一次版本，1个月升级一次协议特征库，升级了特征库，将有更多的协议被识别，降低未知流量的比例。请Panabit流控产品用户，经常检查昀新版本和昀新特征库，尽量升级到昀新版本，从而获得更好的流控效果。在使用过程中，如果发现某个应用未能被正确识别，可以及时反馈或直接帮助采集样本，Panabit在分析获取特征之后添加到协议特征库，通过特征库升级，就能及时解决问题。Panabit流控产品，全中文化的Web界面，界面简洁，操作容易掌握，必要的提示在Web界面中已经标明，可以脱离手册操作，但是还是建议，正式上线前，仔细阅读本手册，掌握策略配置的核心思想和流程，从而获得灵活的策略配置管理效果。流量管理策略配置流程是：设定数据通道(划分通道，设定带宽值)－定义策略组(添加规则集，规则按序号由小到大执行)－策略调度(设定策略生效时间段)；确认当前生效策略，点击：监控统计－当前策略。日常的维护主要是查看运行数据，适当调整策略。Panabit流控系统部署图如下：注：本手册未包含软件安装部分，请参考Panabit安装指南。页/共26页北京三棱镜软件工作室0.系统检查旧版本升级的用户，可以直接跳至第1章节。新装软件用户，需要对系统做进一步的检查与配置。0.1确认系统时间系统安装时，给定了管理网口的IP地址信息，在浏览地址栏输入：（根据实际地址输入）对于IE7.0，点击“继续浏览此网站(不推荐)”，则进入Panabit流控系统管理界面，管理员用户名是：admin，缺省口令是：panabit；选择系统维护－系统时间，确认时间正确；修改时间也可以在FreeBSD命令行修改，使用date命令调整，date命令格式：dateYYMMDDHHMM，如设置时间为2008年06月23日18点30分，则命令格式：date0806231830，输入date命令，确认时间调整正确。如系统时间不正确，将影响系统的策略执行和流量图表统计信息。0.2查看数据网卡POLLING选项对于硬件配置比较低，流量比较高的网络环境，需要设置POLLING选项，有利于提高网卡性能和降低CPU的负荷。对于使用Panabit裁减的FreeBSD精简包安装的系统，内核已支持POLLING选项，启用POLLING选项，还需要在系统命令行配置，设置格式如下：ifconfigfxp0pollingifconfigfxp1pollingPolling仅需对所有使用的数据接口设置，建议将设置添加到/etc/rc.local文件中，使得开机进入系统自动运行。对于自编译内核未增加POLLING选项的，参考FreeBSD6.2系统安装文档的内核编译部分，启用新编译内核之后，设置方法同上。使用ifconfig命令查看网卡信息，看到网卡后面有POLLING显示，说明已经打开POLLING。0.3关闭CPU超线程在系统信息－CPU配置一行，显示CPU信息，“(2)”表示双核。Panabit流控引擎，目前仅支持双核，目前不支持4核。Panabit系统不使用超线程，如果主板支持超线程，在bios中关闭超线程(Hyper-Threading)，如果打开了超线程，数据网卡将不通流量。页/共26页北京三棱镜软件工作室0.4配置与测试网桥Panabit系统，可以支持4路网桥的分别管理和统计流量；系统安装完毕，需要在Web管理界面设定网桥，网桥名称以网桥1、网桥2、网桥3、网桥4标识，需要分别设置所使用的网卡和内外网接口，配置界面如下：选网桥名称，设置接内网和外网，依次点击提交，网桥配置完成，即可上线开始流量分析，根据流量分析的结果，再配置管理策略。上线前，须测试网桥是否正常，多路网桥，每一路都需要测试。简单的测试方法，将Panabit系统串接在笔记本电脑前上网，使用迅雷下载大文件，查看网络速度是否正常和迅雷是否被分析识别。测试正常后，设备即可正式上线。0.5修改口令修改系统root帐户口令与Web界面admin管理帐户口令；需要设置复杂、足够强度的口令。1．网络配置Panabit流控系统登录管理界面的方式是：。软件系统无缺省地址，是在安装时设定的管理接口IP地址，管理员用户名是：admin，缺省口令是：panabit。如果系统管理密码丢失或未知管理IP地址，配置有串口终端的，可以通过console口登录修改密码和设置临时IP地址，Web界面登录之后，通过Web界面配置和保存IP地址。参照Panabit精简包安装的FreeBSD系统，超级终端连接参数：96008无1无，(点“缺省”即可)。由于使用了安全登录，IE7.0登录管理界面时，出现安全警告提示页面，点击“继续浏览此网站(不推荐)”，则进入Panabit流控系统管理界面，首页页面如下：页/共26页北京三棱镜软件工作室初始登录，由于无流量数据，饼图显示为灰色。1.1管理接口修改管理接口IP界面如下：修改完毕点击提交，管理接口IP地址修改生效并保存配置文件。注：Panabit的网络配置信息，使用单独的配置文件，FreeBSD系统配置的网络信息，在启动Panabit进程时，将被Panabit网络配置信息替换，如果在系统命令行修改Panabit的管理地址信息，可以直接修改：/usr/panaetc/ifadmin.conf文件，重启Panabit使其生效。可以在FreeBSD命令行用ifconfig临时修改管理接口IP地址，保存地址信息，需要到Web管理界面修改保存。页/共26页北京三棱镜软件工作室1.2数据接口网桥配置与察看界面如下：网桥的内外网接口，请根据硬件接口标识，不能接反；如果接反，将直接影响策略效果和流量统计信息。上线前，需测试网桥是否正常，多路网桥，每一路都需要测试。简单的测试方法，将Panabit系统串接在笔记本电脑前上网，使用迅雷下载大文件，查看速度是否正常和迅雷是否被分析识别。测试正常后，即可正式上线测试。上线后，系统先要保证网络的正常使用，不配置策略以纯桥方式进行流量分析，流量分析是逐步进行，初始时未知比例会很大并逐渐下降；通常24小时之后，各类流量比例才会趋于稳定，此时再根据流量分布比例，开始配置流量管理策略。策略设置好后的一周内，需要根据网络的实际运行情况和用户反馈状况做适当的调整直至恰当为止。2．对象管理Panabi