流量分析與控制系統Panabit

的安裝與管理朱伏波南京市雙閘中學2010年9月5日流量分析與控制系統Panabit

的安裝與管理朱伏前言現今，人們希望網絡不僅僅是“連通的”，更是“流暢的”。網絡管理員在面臨網絡擁堵所造成的網頁刷新速度變慢，辦公網絡崩潰，在線影音斷斷續續，網絡游戲經常掉線等等問題時常束手無策。采用軟件限流程序或者客戶端流控系統常常受到用戶卸載，破解和諸多環境因素影響。因此，使用流控設備則變成了優化網絡的首要選擇。前言現今，人們希望網絡不僅僅是一、網絡流量控制的作用P2P流量過載對某些用戶超額使用沒有控制–用戶與應用的優先權劃分–確保用戶之間公平性–處理超額使用調峰–未使用帶寬–未知流量–關鍵性應用被限制–擁塞與帶寬饑荒

——優化網絡帶寬使用一、網絡流量控制的作用P2P流量過載——優化網絡二、常見的流量控制系統例：深信服、網絡掌門例：Panabit二、常見的流量控制系統例：深信服、網絡掌門例：Panabit三、panabit簡介Panabit應用層流量管理產品，是在互聯網P2P(Peer-to-Peer)應用廣泛流行的背景下，誕生的新一代應用層QOS產品。Panabit流控是真正一款應用層級流控產品，基于連接過程和協議特征識別，對于加密協議采用主動探測引擎，經過一套完整的識別流程，準確識別應用，精確定位具體的軟件客戶端，把應用可視化提高到一個新的階段。Panabit流控系統能幫助寬帶運營網管實時了解網絡應用層流量狀態及應用概況，進行流量管理，提高網絡運行效率。三、panabit簡介Panabit應用層四、

Panabit產品分類Panabit硬件Panabit專業版軟件Panabit標準版軟件——收費軟件，配置適當的硬件，完全滿足處理雙向4Gbps吞吐量。——免費軟件，配置適當的硬件，保證100Mbps線速四、Panabit產品分類Panabit硬件Panabit五、Panabit的安裝軟件安裝環境硬件：Intelx86平臺，配置P3800Mhz以上、256M內存以上、3塊網卡（最好是Intel千兆網卡），128M以上電子盤或硬盤均可，帶光驅的新、舊服務器一臺。操作系統：FreeBSD6.2或以上(Panabit2007僅支持FreeBSD4.11)。五、Panabit的安裝軟件安裝環境安裝方法：安裝方法：備注：

關閉CPU超線程在系統信息－>CPU配置一行，顯示CPU信息，“(2)”表示雙核。Panabit流控引擎，目前僅支持雙核，目前不支持4核。Panabit系統不使用超線程，如果主板支持超線程，在bios中關閉超線程(Hyper-Threading)，如果打開了超線程，數據網卡將不通流量。

安裝過程中，可使用ifconfig查看網卡狀態，如果為Active，則為工作狀態，否則表示網卡與網線連接正確。也可據此來判斷網卡em0em1em2（采用網線插拔的方法）備注：關閉CPU超線程安裝過程中，可使用ifconf拓撲圖如下：拓撲圖如下：Panabit的管理接下來，就可以使用瀏覽器，進入Web界面配置管理：，輸入用戶名：admin，缺省口令：panabit，則登陸管理界面。Panabit的管理接下來，就可以使用瀏覽器，進入Web1、管理接口修改管理接口IP界面如下：1、管理接口修改管理接口IP界面如下：2、數據接口Panabit系統，可以支持4路網橋的分別管理和統計流量；系統安裝完畢，需要在Web管理界面設定網橋，網橋名稱以網橋1、網橋2、網橋3、網橋4標識，需要分別設置所使用的網卡和內外網接口。網橋的內外網接口，請根據硬件接口標識，不能接反；如果接反，將直接影響策略效果和流量統計信息2、數據接口Panabit系統，可以支持4路網橋的分3、IP群組單IP、IP段在策略規則配置時，已經是可以作為控制對象的參數使用，但是一個IP地址或一個IP段，需要一條規則對應，對多個IP或IP段配置同一控制策略時，需要配置多條規則，操作起來比較煩瑣，使用IP群組自定義功能，可以把多個IP、不連續的IP段定義一個IP群組，并以組名稱標識，這樣配置策略方便和直觀。自定義IP群組之后，在策略配置規則時，組名稱將自動添加到內網、外網地址對象中，供調用。3、IP群組單IP、IP段在策略規則配置時，已經是可以網橋帶寬是設定承載該鏈路的帶寬最大值，對于策略中啟用帶寬預留、帶寬保證時，需要設置該值；對于策略中通常的允許、阻斷、限速，忽略此值，系統缺省0值，即關閉上下行帶寬預留、帶寬保證功能。不同的網橋，需要根據實際情況設置帶寬，上下行分別設置。設置界面和示例如下：4、網橋帶寬網橋帶寬是設定承載該鏈路的帶寬最大值，對于策略中啟用帶寬預留數據通道設置比較簡單，主要設置數據通道帶寬數值和匹配的通道路徑，當設置帶寬預留、帶寬保證時，可以選擇帶寬所在路徑；對于帶寬限速，無所在路徑選項。設置數據通道的目的，是在策略組配置規則時作為執行動作使用，缺省的執行動作僅阻斷和允許兩項，一旦配置了數據通道，通道名稱將加入執行動作選項，從而實現劃分數據通道的目的。在自定義通道名稱時，注意通道名稱便于理解。數據通道配置界面和示例如下：5、數據通道以上數據通道名稱，在接下來的策略組－>添加規則配置界面中，下拉“執行動作”選項，將出現新增加的數據通道名稱，即數據通道是為策略配置先行設置的動作。通道表示為帶寬數值，一個已經定義的數據通道，在規則配置中可以靈活使用，可以表示上行、下行、雙向、協議總和、網橋總和，即數據通道可以共用。關于帶寬預留、帶寬保證通道：帶寬預留――對于預留的對象，最大可以使用預留帶寬。帶寬保證――對于保證對象，至少保證的帶寬，系統帶寬空閑，還可以借用。數據通道設置比較簡單，主要設置數據通道帶寬數值和匹配的通道路6、策略組1）創建策略組并為其命名策略組是控制規則的集合，策略組創建之后，逐一添加規則；根據實際需要，可以創建多個策略組，供不同時間段調用；6、策略組1）創建策略組并為其命名策略組是控制規則的集合，策2）點擊“添加規則”創建規則注：配置界面各參數后面括號中藍色部分為相關的注釋，將鼠標移動到藍色字體部分即可顯示相關說明。本例為創建一個編號為20的規則。2）點擊“添加規則”創建規則注：配置界面各參數后面括號中藍色本例為創建一個編號為20的規則。“數據路徑”：表示本規則作用鏈路的范圍。“任意路徑”表示該規則作用于整個系統所有網橋的任意方向；“任意上/下行路徑”表示該規則作用于系統中所有網橋的所有上行或下行方向；“網橋1—>雙向”表示該規則僅作用于網橋1的上下行兩個方向。本例為創建一個編號為20的規則。“數據路徑”：表示本規則“內/外網地址”：定義該規則所引用的源、目的地址。提供4種對象形式：任意地址（等同于any）、xxx.xxx.xxx.xxx/nn（一個網段寫法為/24；一個IP寫法為00/32）、n.n.n.n-m.m.m.m（一個連續IP段，寫法為-54）、IP群組（直接引用在“對象管理”中預先定義好的IP群組）。“內/外網地址”：定義該規則所引用的源、目的地“應用協議”：選擇該規則所匹配的應用協議，可以選擇一個協議組，也可以選擇具體的某個協議、自定義協議、自定義協議組；帶“＋”的表示協議組。自定義協議、自定義協議組需預先在對象管理配置部分定義。專業級的流控系統Panabit的安裝與配置“執行動作”：未創建“數據通道”時，此處將只有兩個選項：允許、阻斷。創建數據通道后，相關數據通道名稱將自動顯示，作為動作選項引用。對應前面所選擇的“數據路徑”和“應用協議”選擇相匹配的動作或通道即可。數據通道可以共用，如限速“P2P下載”和“網絡電視”在兩條規則里，執行動作選擇同一個數據通道，則“P2P下載”和“網絡電視”共享這一數據通道。“執行動作”：未創建“數據通道”時，此處將只策略組的配置，需要做一下規劃，策略組的執行，需要放在接下來的策略調度中執行，策略調度是劃分時間段調用策略組，策略組的規劃結合時間段，定義適當的名稱標識。以下是一個策略組示例：策略組的配置，需要做一下規劃，策略組的執行，“動作過后”：該規則被匹配完后是繼續還是停止。將鼠標移至行末的（幫助）查看詳細說明。多數規則選擇停止匹配，當一個規則的作用域比較大，需要下一條規則繼續匹配才能滿足要求時，選擇繼續匹配。點擊提交，一條規則配置完畢，繼續添加規則，重復上述過程。做完一個策略組，再創建新策略組，再逐一添加規則，形成一個新的策略組。“動作過后”：該規則被匹配完后是繼續還是6、策略調度點擊“添加時段”增加一個策略調度計劃表，如下圖：策略調度可以是按周進行，也可以按月進行，如下圖：6、策略調度點擊“添加時段”增加一個策略調度計劃表，如下圖：策略生效確認：數據通道、策略組、策略調度三個步驟全部完成后，規則才會開始生效。確認策略生效的方法：依次點擊“監控統計”－>“系統概況”－>“當前策略”，如當前策略正確顯示并且相關數值有刷新，說明所建規則已生效，否則請返回“流量管理”部分重新檢查并設置數據通道、策略組、策略調度三個部分。以下是策略生效的示例：策略生效確認：迅雷、超級旋風控制示例1、迅雷迅雷是支持“跨協議下載”的代表，在通訊時會使用多種協議進行數據傳輸：迅雷、脫兔、HTTP分塊傳輸、偽IE下載，甚至還有FTP和HTTP，所以設置策略時要針對這些協議進行控制，操作步驟分兩大步：A、阻斷迅雷；B、對HTTP分塊傳輸、偽IE下載、脫兔進行限速控制注：以上方法對于大部分資源，已經可以達到很理想的控制效果。下面的截圖是一個示例，本例中對內網每個IP設定下行可用總帶寬為512kb，然后將迅雷的下載速度限制在40kb/s,即5kB/s,規則生效后在"當前策略"截圖如下:迅雷、超級旋風控制示例1、迅雷注：1．限速迅雷相關的策略為20、30、40、50四條。2．10規則動作過后要選擇"繼續匹配"，否則下面的限速迅雷的規則一條都不會匹配，也不會生效。3．要對迅雷做準確的限速，最好的辦法是先阻斷迅雷協議,然后對HTTP分塊傳輸、偽IE下載、脫兔三種協議進行控制。本例中將迅雷和脫兔阻斷，然后對HTTP分塊傳輸，偽IE下載分別限速20Kbits/s，規則生效后效果非常理想。4．如發現按以上策略設置后，迅雷的下載速度仍然很大。則需要檢查并確認下載方式中是否有FTP，如果有，將FTP也進行限速控制即可。5．有時下載一個熱門對象，無論怎么限速度都很快，此時一是查看該資源是否支持HTTP方式下載；二是在迅雷客戶端查看其下載鏈接列表。看是否有同一網段的內網IP，即相當于局域網內有種子，此部分流量并不經過流控設備所以不受控。2、(騰訊)超級旋風與迅雷相似，超級旋風也是支持跨協議下載的典型，數據傳輸時除少量采用自身協議外，主要采用QQLive(QQ直播，屬于“網絡電視”分類)、偽IE下載、HTTP分塊傳輸等協議，所以控制超級旋風，必須對以上幾種相關協議進行策略設置。注：建議：建議：完！完！流量分析與控制系統Panabit

的安裝與管理朱伏波南京市雙閘中學2010年9月5日流量分析與控制系統Panabit

的安裝與管理朱伏前言現今，人們希望網絡不僅僅是“連通的”，更是“流暢的”。網絡管理員在面臨網絡擁堵所造成的網頁刷新速度變慢，辦公網絡崩潰，在線影音斷斷續續，網絡游戲經常掉線等等問題時常束手無策。采用軟件限流程序或者客戶端流控系統常常受到用戶卸載，破解和諸多環境因素影響。因此，使用流控設備則變成了優化網絡的首要選擇。前言現今，人們希望網絡不僅僅是一、網絡流量控制的作用P2P流量過載對某些用戶超額使用沒有控制–用戶與應用的優先權劃分–確保用戶之間公平性–處理超額使用調峰–未使用帶寬–未知流量–關鍵性應用被限制–擁塞與帶寬饑荒

——優化網絡帶寬使用一、網絡流量控制的作用P2P流量過載——優化網絡二、常見的流量控制系統例：深信服、網絡掌門例：Panabit二、常見的流量控制系統例：深信服、網絡掌門例：Panabit三、panabit簡介Panabit應用層流量管理產品，是在互聯網P2P(Peer-to-Peer)應用廣泛流行的背景下，誕生的新一代應用層QOS產品。Panabit流控是真正一款應用層級流控產品，基于連接過程和協議特征識別，對于加密協議采用主動探測引擎，經過一套完整的識別流程，準確識別應用，精確定位具體的軟件客戶端，把應用可視化提高到一個新的階段。Panabit流控系統能幫助寬帶運營網管實時了解網絡應用層流量狀態及應用概況，進行流量管理，提高網絡運行效率。三、panabit簡介Panabit應用層四、

Panabit產品分類Panabit硬件Panabit專業版軟件Panabit標準版軟件——收費軟件，配置適當的硬件，完全滿足處理雙向4Gbps吞吐量。——免費軟件，配置適當的硬件，保證100Mbps線速四、Panabit產品分類Panabit硬件Panabit五、Panabit的安裝軟件安裝環境硬件：Intelx86平臺，配置P3800Mhz以上、256M內存以上、3塊網卡（最好是Intel千兆網卡），128M以上電子盤或硬盤均可，帶光驅的新、舊服務器一臺。操作系統：FreeBSD6.2或以上(Panabit2007僅支持FreeBSD4.11)。五、Panabit的安裝軟件安裝環境安裝方法：安裝方法：備注：

關閉CPU超線程在系統信息－>CPU配置一行，顯示CPU信息，“(2)”表示雙核。Panabit流控引擎，目前僅支持雙核，目前不支持4核。Panabit系統不使用超線程，如果主板支持超線程，在bios中關閉超線程(Hyper-Threading)，如果打開了超線程，數據網卡將不通流量。

安裝過程中，可使用ifconfig查看網卡狀態，如果為Active，則為工作狀態，否則表示網卡與網線連接正確。也可據此來判斷網卡em0em1em2（采用網線插拔的方法）備注：關閉CPU超線程安裝過程中，可使用ifconf拓撲圖如下：拓撲圖如下：Panabit的管理接下來，就可以使用瀏覽器，進入Web界面配置管理：，輸入用戶名：admin，缺省口令：panabit，則登陸管理界面。Panabit的管理接下來，就可以使用瀏覽器，進入Web1、管理接口修改管理接口IP界面如下：1、管理接口修改管理接口IP界面如下：2、數據接口Panabit系統，可以支持4路網橋的分別管理和統計流量；系統安裝完畢，需要在Web管理界面設定網橋，網橋名稱以網橋1、網橋2、網橋3、網橋4標識，需要分別設置所使用的網卡和內外網接口。網橋的內外網接口，請根據硬件接口標識，不能接反；如果接反，將直接影響策略效果和流量統計信息2、數據接口Panabit系統，可以支持4路網橋的分3、IP群組單IP、IP段在策略規則配置時，已經是可以作為控制對象的參數使用，但是一個IP地址或一個IP段，需要一條規則對應，對多個IP或IP段配置同一控制策略時，需要配置多條規則，操作起來比較煩瑣，使用IP群組自定義功能，可以把多個IP、不連續的IP段定義一個IP群組，并以組名稱標識，這樣配置策略方便和直觀。自定義IP群組之后，在策略配置規則時，組名稱將自動添加到內網、外網地址對象中，供調用。3、IP群組單IP、IP段在策略規則配置時，已經是可以網橋帶寬是設定承載該鏈路的帶寬最大值，對于策略中啟用帶寬預留、帶寬保證時，需要設置該值；對于策略中通常的允許、阻斷、限速，忽略此值，系統缺省0值，即關閉上下行帶寬預留、帶寬保證功能。不同的網橋，需要根據實際情況設置帶寬，上下行分別設置。設置界面和示例如下：4、網橋帶寬網橋帶寬是設定承載該鏈路的帶寬最大值，對于策略中啟用帶寬預留數據通道設置比較簡單，主要設置數據通道帶寬數值和匹配的通道路徑，當設置帶寬預留、帶寬保證時，可以選擇帶寬所在路徑；對于帶寬限速，無所在路徑選項。設置數據通道的目的，是在策略組配置規則時作為執行動作使用，缺省的執行動作僅阻斷和允許兩項，一旦配置了數據通道，通道名稱將加入執行動作選項，從而實現劃分數據通道的目的。在自定義通道名稱時，注意通道名稱便于理解。數據通道配置界面和示例如下：5、數據通道以上數據通道名稱，在接下來的策略組－>添加規則配置界面中，下拉“執行動作”選項，將出現新增加的數據通道名稱，即數據通道是為策略配置先行設置的動作。通道表示為帶寬數值，一個已經定義的數據通道，在規則配置中可以靈活使用，可以表示上行、下行、雙向、協議總和、網橋總和，即數據通道可以共用。關于帶寬預留、帶寬保證通道：帶寬預留――對于預留的對象，最大可以使用預留帶寬。帶寬保證――對于保證對象，至少保證的帶寬，系統帶寬空閑，還可以借用。數據通道設置比較簡單，主要設置數據通道帶寬數值和匹配的通道路6、策略組1）創建策略組并為其命名策略組是控制規則的集合，策略組創建之后，逐一添加規則；根據實際需要，可以創建多個策略組，供不同時間段調用；6、策略組1）創建策略組并為其命名策略組是控制規則的集合，策2）點擊“添加規則”創建規則注：配置界面各參數后面括號中藍色部分為相關的注釋，將鼠標移動到藍色字體部分即可顯示相關說明。本例為創建一個編號為20的規則。2）點擊“添加規則”創建規則注：配置界面各參數后面括號中藍色本例為創建一個編號為20的規則。“數據路徑”：表示本規則作用鏈路的范圍。“任意路徑”表示該規則作用于整個系統所有網橋的任意方向；“任意上/下行路徑”表示該規則作用于系統中所有網橋的所有上行或下行方向；“網橋1—>雙向”表示該規則僅作用于網橋1的上下行兩個方向。本例為創建一個編號為20的規則。“數據路徑”：表示本規則“內/外網地址”：定義該規則所引用的源、目的地址。提供4種對象形式：任意地址（等同于any）、xxx.xxx.xxx.xxx/nn（一個網段寫法為/24；一個IP寫法為00/32）、n.n.n.n-m.m.m.m（一個連續IP段，寫法為-54）、IP群組（直接引用在“對象管理”中預先定義好的IP群組）。“內/外網地址”：定義該規則所引用的源、目的地“應用協議”：選擇該規則所匹配的應用協議，可以選擇一個協議組，也可以選擇具體的某個協議、自定義協議、自定義協議組；帶“＋”的表示協議組。自定義協議、自定義協議組需預先在對象管理配置部分定義。專業級的流控系統Panabit的安裝與配置“執行動作”：未創建“數據通道”時，此處將只有兩個選項：允許、阻斷。創建數據通道后，相關數據通道名稱將自動顯示，作為動作選項引用。對應前面所選擇的“數據路徑”和“應用協議”選擇相匹配的動作或通道即可。數據通道可以共用，如限速“P2P下載”和“網絡電視”在兩條規則里，執行動作選擇同一個數據通道，則“P2P下載”和“網絡電視”共享這一數據通道。“執行動作”：未創建“數據通道”時，此處將只策略組的配置，需要做一下規劃，策略組的執行，需要放在接下來的策略調度中執行，策略調度是劃分時間段調用策略組，策略組的規劃結合時間段，定義適當的名稱標識。以下是一個策略組示例：策略組的配置，需要做一下規劃，策略組的執行，“動作過后”：該規則被匹配完后是繼續還是停止。將鼠標移至行末的（幫助）查看詳細說明。多數規則選擇停止匹配，當一個規則的作用域比較大，需要下一條規則繼續匹配才能滿足要求時，選擇繼續匹配。點擊提交，一條規則配置完畢，繼續添加規則，重復上述過程。做完一個策略組，再創建新策略組，再逐一添加規則，形成一個新的策略組。“動作過后”：該規則被匹配完后是繼續還是6、策略調度點擊“添加時段”增加一個策略調度計劃表，如下圖：策略調度可以是按周進行，也可以按月進行，如下圖：6、策略調度點擊“添加時段”增加一個策略調度計劃表，如下圖：策略生效確認：數據通道、策略組、策略調度三個步驟全部完成后，規則才會開始