专业级的流控系统Panabit的安装与配置

流量分析与控制系统Panabit的安装与管理朱伏波南京市双闸中学2010年9月5日前言现今，人们希望网络不仅仅是“连通的”，更是“流畅的”。网络管理员在面临网络拥堵所造成的网页刷新速度变慢，办公网络崩溃，在线影音断断续续，网络游戏经常掉线等等问题时常束手无策。采用软件限流程序或者客户端流控系统常常受到用户卸载，破解和诸多环境因素影响。因此，使用流控设备则变成了优化网络的首要选择。一、网络流量控制的作用P2P流量过载对某些用户超额使用没有控制–用户与应用的优先权划分–确保用户之间公平性–处理超额使用调峰–未使用带宽–未知流量–关键性应用被限制–拥塞与带宽饥荒——优化网络带宽使用二、常见的流量控制系统例：深信服、网络掌门例：Panabit三、panabit简介Panabit应用层流量管理产品，是在互联网P2P(Peer-to-Peer)应用广泛流行的背景下，诞生的新一代应用层QOS产品。Panabit流控是真正一款应用层级流控产品，基于连接过程和协议特征识别，对于加密协议采用主动探测引擎，经过一套完整的识别流程，准确识别应用，精确定位具体的软件客户端，把应用可视化提高到一个新的阶段。Panabit流控系统能帮助宽带运营网管实时了解网络应用层流量状态及应用概况，进行流量管理，提高网络运行效率。详情请参看Panabit官方网站：http://www.panabit.com四、Panabit产品分类Panabit硬件Panabit专业版软件Panabit标准版软件——由派软公司销售：http://www.panabit.com/product/index.html——收费软件，配置适当的硬件，完全满足处理双向4Gbps吞吐量。——免费软件，配置适当的硬件，保证100Mbps线速五、Panabit的安装软件安装环境硬件：Intelx86平台，配置P3800Mhz以上、256M内存以上、3块网卡（最好是Intel千兆网卡），128M以上电子盘或硬盘均可，带光驱的新、旧服务器一台。操作系统：FreeBSD6.2或以上(Panabit2007仅支持FreeBSD4.11)。新手推荐：一键安装。下载15MB之PanabitLiveCDISO文件、刻盘启动，运行./setup脚本，自动安装FreeBSD8.0、Panabit，指定管理网卡名称、IP地址等，1-5分钟搞定安装！最新下载地址：http://www.panabit.com/download/Panabit_20100704_fb8x.iso安装方法：下载地址：http://www.panabit.com/download/Panabit_20100704_fb8x.iso，下载后，刻成光盘，使用光盘启动，启动之后输入root用户名，口令root，即FreeBSD提示界面，输入：Panabit8#./setup回车(大约1分钟左右，时间视硬盘大小格式化时间，安装过程首先是自动查找盘，显示查到的磁盘设备名，本机使用建议选择安装在第一个盘，盘可以是硬盘、CF卡、U盘等(盘容量要大于256M，建议512M以上。其中主要运行自动分区、格式化文件系统、安装精简FreeBSD8.0、安装Panabit。)以下是运行交互提示：WelcometoPanabitsystemautomaticallyinstallshell!Theinstallationwilldeletealldataonyourharddiskandcannotberestored!!Pleaseconfirmwhetherornottocontinuetheinstallation!Doyouwanttocontinue(y/n[n])?输入y回车，否则退出。Followingdisksaredetected:da0ad1显示系统中检测到的盘。Pleaseselectone[da0]:回车安装缺省安装在第一个盘。Webegintoformatthediskda0andbegintoinstallFreeBSD8.0!Doyouwanttocontinue(y/n[y])?回车继续。cylinders=17753heads=15sectors/track=63以上三行显示磁盘的CHS参数。Formattingthediskandcopyfiles,pleasewaitamoment!大约等1-2分钟。FreeBSD8.0InstallOK!这期间主要格式化文件系统，复制光盘上FreeBSD精简系统文件和配置。Welcomeinstallingpanabit!******Congratulations******!YouhavesuccessfullyinstalledPanabitonyoursystem!Followinginterfacesareinstalledinyoursystem:备注：关闭CPU超线程在系统信息－CPU配置一行，显示CPU信息，“(2)”表示双核。Panabit流控引擎，目前仅支持双核，目前不支持4核。Panabit系统不使用超线程，如果主板支持超线程，在bios中关闭超线程(Hyper-Threading)，如果打开了超线程，数据网卡将不通流量。安装过程中，可使用ifconfig查看网卡状态，如果为Active，则为工作状态，否则表示网卡与网线连接正确。也可据此来判断网卡em0em1em2（采用网线插拔的方法）拓扑图如下：Panabit的管理接下来，就可以使用浏览器，进入Web界面配置管理：https://192.168.0.8，输入用户名：admin，缺省口令：panabit，则登陆管理界面。1、管理接口修改管理接口IP界面如下：2、数据接口Panabit系统，可以支持4路网桥的分别管理和统计流量；系统安装完毕，需要在Web管理界面设定网桥，网桥名称以网桥1、网桥2、网桥3、网桥4标识，需要分别设置所使用的网卡和内外网接口。网桥的内外网接口，请根据硬件接口标识，不能接反；如果接反，将直接影响策略效果和流量统计信息3、IP群组单IP、IP段在策略规则配置时，已经是可以作为控制对象的参数使用，但是一个IP地址或一个IP段，需要一条规则对应，对多个IP或IP段配置同一控制策略时，需要配置多条规则，操作起来比较烦琐，使用IP群组自定义功能，可以把多个IP、不连续的IP段定义一个IP群组，并以组名称标识，这样配置策略方便和直观。自定义IP群组之后，在策略配置规则时，组名称将自动添加到内网、外网地址对象中，供调用。网桥带宽是设定承载该链路的带宽最大值，对于策略中启用带宽预留、带宽保证时，需要设置该值；对于策略中通常的允许、阻断、限速，忽略此值，系统缺省0值，即关闭上下行带宽预留、带宽保证功能。不同的网桥，需要根据实际情况设置带宽，上下行分别设置。设置界面和示例如下：4、网桥带宽数据通道设置比较简单，主要设置数据通道带宽数值和匹配的通道路径，当设置带宽预留、带宽保证时，可以选择带宽所在路径；对于带宽限速，无所在路径选项。设置数据通道的目的，是在策略组配置规则时作为执行动作使用，缺省的执行动作仅阻断和允许两项，一旦配置了数据通道，通道名称将加入执行动作选项，从而实现划分数据通道的目的。在自定义通道名称时，注意通道名称便于理解。数据通道配置界面和示例如下：5、数据通道以上数据通道名称，在接下来的策略组－添加规则配置界面中，下拉“执行动作”选项，将出现新增加的数据通道名称，即数据通道是为策略配置先行设置的动作。通道表示为带宽数值，一个已经定义的数据通道，在规则配置中可以灵活使用，可以表示上行、下行、双向、协议总和、网桥总和，即数据通道可以共用。关于带宽预留、带宽保证通道：带宽预留――对于预留的对象，最大可以使用预留带宽。带宽保证――对于保证对象，至少保证的带宽，系统带宽空闲，还可以借用。6、策略组1）创建策略组并为其命名策略组是控制规则的集合，策略组创建之后，逐一添加规则；根据实际需要，可以创建多个策略组，供不同时间段调用；2）点击“添加规则”创建规则注：配置界面各参数后面括号中蓝色部分为相关的注释，将鼠标移动到蓝色字体部分即可显示相关说明。本例为创建一个编号为20的规则。本例为创建一个编号为20的规则。“数据路径”：表示本规则作用链路的范围。“任意路径”表示该规则作用于整个系统所有网桥的任意方向；“任意上/下行路径”表示该规则作用于系统中所有网桥的所有上行或下行方向；“网桥1—双向”表示该规则仅作用于网桥1的上下行两个方向。“内/外网地址”：定义该规则所引用的源、目的地址。提供4种对象形式：任意地址（等同于any）、xxx.xxx.xxx.xxx/nn（一个网段写法为192.168.1.0/24；一个IP写法为192.168.1.100/32）、n.n.n.n-m.m.m.m（一个连续IP段，写法为172.16.1.1-172.18.1.254）、IP群组（直接引用在“对象管理”中预先定义好的IP群组）。“应用协议”：选择该规则所匹配的应用协议，可以选择一个协议组，也可以选择具体的某个协议、自定义协议、自定义协议组；带“＋”的表示协议组。自定义协议、自定义协议组需预先在对象管理配置部分定义。“执行动作”：未创建“数据通道”时，此处将只有两个选项：允许、阻断。创建数据通道后，相关数据通道名称将自动显示，作为动作选项引用。对应前面所选择的“数据路径”和“应用协议”选择相匹配的动作或通道即可。数据通道可以共用，如限速“P2P下载”和“网络电视”在两条规则里，执行动作选择同一个数据通道，则“P2P下载”和“网络电视”共享这一数据通道。策略组的配置，需要做一下规划，策略组的执行，需要放在接下来的策略调度中执行，策略调度是划分时间段调用策略组，策略组的规划结合时间段，定义适当的名称标识。以下是一个策略组示例：“动作过后”：该规则被匹配完后是继续还是停止。将鼠标移至行末的（帮助）查看详细说明。多数规则选择停止匹配，当一个规则的作用域比较大，需要下一条规则继续匹配才能满足要求时，选择继续匹配。点击提交，一条规则配置完毕，继续添加规则，重复上述过程。做完一个策略组，再创建新策略组，再逐一添加规则，形成一个新的策略组。6、策略调度点击“添加时段”增加一个策略调度计划表，如下图：策略调度可以是按周进行，也可以按月进行，如下图：策略生效确认：数据通道、策略组、策略调度三个步骤全部完成后，规则才会开始生效。确认策略生效的方法：依次点击“监控统计”－“系统概况”－“当前策略”，如当前策略正确显示并且相关数值有刷新，说明所建规则已生效，否则请返回“流量管理”部分重新检查并设置数据通道、策略组、策略调度三个部分。以下是策略生效的示例：迅雷、超级旋风控制示例1、迅雷迅雷是支持“跨协议下载”的代表，在通讯时会使用多种协议进行数据传输：迅雷、脱兔、HTTP分块传输、伪IE下载，甚至还有FTP和HTTP，所以设置策略时要针对这些协议进行控制，操作步骤分两大步：A、阻断迅雷；B、对HTTP分块传输、伪IE下载、脱兔进行限速控制注：以上方法对于大部分资源，已经可以达到很理想的控制效果。下面的截图是一个示例，本例中对内网每个IP设定下行可用总带宽为512kb，然后将迅雷的下载速度限制在40kb/s,即5kB/s,规则生效后在当前策略截图如下:注：1．限速迅雷相关的策略为20、30、40、50四条。2．10规则动作过后要选择继续匹配，否则下面的限速迅雷的规则一条都不会匹配，也不会生效。3．要对迅雷做准确的限速，最好的办法是先阻断迅雷协议,然后对HTTP分块传输、伪IE下载、脱兔三种协议进行控制。本例中将迅雷和脱兔阻断，然后对HTTP分块传输，伪IE下载分别限速20Kbits/s，规则生效后效果非常理想。4．如发现按以上策略设置后，迅雷的下载速度仍然很大。则需要检查并确认下载方式中是否有FTP，如果有，将FTP也进行限速控制即可。5．有时下载一个热门对象，无论怎么限速度都很快，此时一是查看该资源是否支持HTTP方式下载；