Panabit常用命令手册(更新于20160919)

Panabit常用命令手册1.基本官方硬件管理口：MGT默认管理ip：192.168.0.200Web管理界面：管理界面默认用户和密码：admin/panabit后台管理默认用户和密码：root/panaos2.FreeBSD命令1）修改root密码：passwd2）查看管理口IP：ifconfig3）临时修改管理口IP：ifconfig管理口网卡名192.168.0.199/244）修改管理口IP：ee/conf/ifadmin.conf修改好之后按esc键，选择a）leaveeditor按回车，离开编辑，再选择a）savechanges保存修改，然后重启设备。5）查看WEB界面密码：cat/usr/ramdisk/admin/.htpasswd6）修改web界面密码：ee/usr/system/admin/.htpasswd修改好之后按esc键，选择a）leaveeditor按回车，离开编辑，再选择a）savechanges保存修改。7）添加数据网卡：注意，添加了数据网卡后，原有的license会失效，必须重新授权。ifconfig找到新加网卡的网卡名然后编辑PG.conf文件,ee/etc/PG.conf，将新网卡加入数据网卡然后退出，保存，重启设备。、8）panaos服务的启动和停止：/usr/system/bin/ipectrlstart启动panaos服务默认开机后是启动的，/usr/system/bin/ipectrlstop停止panaos服务停止后，软件停止工作，数据网卡会不通，web界面都会登录不了。9）ping命令PingIP这个ping是由管理网卡发出去的，因此这里检查的是管理口的网络情况。3floweye命令3.1floweyeif命令集合：1）查看数据网卡状态：floweyeifstat可以查询各个数据网卡的流量情况主要看bps-inbps-outpps-inpps-out这四个数值2）检查em0网卡是否丢包:floweyeifstatem0|grepMissed多运行几次，MissedPackets如果不为0，说明曾经有过丢包，但是这丢包也许是拔插网线时候产生的，关键是要看MissedPackets的数值是否增长，如果增长表示当前有丢包，这样是有问题的，一般是硬件性能不足导致，如果MissedPackets不变说明没有丢包。3）检查em0网卡是否有roc错误：floweyeifstatem0|greprocPanabit的数据网卡MTU默认是1500，如果数据包的大小大于1500，就会出现roc错误，MTU大于1500的数据包会被丢掉，可以在PG.conf文件里添加一条配置调整数据网卡的MTU值，ETHERMTU=15XX，这个是修改所有数据网卡MTU。重启生效。4）检查em0网卡是否有crc错误：floweyeifstatem0|grepCrc一般是物理问题比如网卡，模块，网线，尾纤等等有问题，会导致Crc错误产生，这是一个比较严重的问题。5）查看数据网卡列表：floweyeiflistInside/outside表示数据网卡设置是接内网/接外网Up/down表示物理接口状态Panaos表示网卡驱动是经过优化后的增强型驱动6）将网桥设置为bypass状态floweyeifsetname=em0bypass=1，默认值是0将数据网卡设置成bypass状态，一般是将一对网桥的两数据网卡设置为bypass状态，来检查排查设备故障。7）测试硬件性能：floweyeifsendpkt网卡名30064比如我们要测试em0-em5这些网卡的性能先把em0-em5每2个设置为一个网桥后台执行floweyeifsendpktem030064floweyeifsendpktem130064floweyeifsendpktem230064floweyeifsendpktem330064floweyeifsendpktem430064floweyeifsendpktem530064这样每个网桥之间会互相发包，300条连接，每个包的大小是64K，（包越大测试出来的流量越大）每个网卡都应该能看到流入和流出的速率才是正常的，否则就是有问题。3.2floweyedpi命令1）调整移动终端老化时间floweyemobileconfigttl=NN2）关闭主动探测，主动探测开启的时候可能会引起局域网打印机多打1张纸floweyedpiconfigxping_enable=0默认是13）启用智能节点跟踪floweyedpiconfigp2p_sntrack=1默认值是04）进一步分析http代理的流量floweyedpiconfigtrack_httproxy=1默认是03.3floweyenat命令1）查看所有虚拟线路的状态floweyenatlistproxy以第一条的前四个字段为例rtif1LAN011em0192.168.0.1255.255.255.0015001.91G14.13G157.13K49.50K001enable第一个字段rtif线路类型：rtif表示LAN接口，posvrif表示PPPOE接口第二个字段1是线路ID第三个字段LAN01是线路名称第四个字段em0表示这个线路对应的物理接口2）重新设置线路名称，有时候线路名称设置了特殊字符，会导致这个条线路无法修改和删除，需要用这个命令修改线路的名称。floweyenatsetproxyname=wan-idnewname=newnameffngFloweyenatset线路类型name=线路IDnewname=新的名称3）开启增强型代理floweyenatconfigtpflow_enable=1默认应该是14）将进来的数据包不是对应线路的VLAN数据包丢弃，通常我们在线路里会看到异常数据包，异常数据包的种类有四种，if，valn，nullvlan，arp。当进入这个线路的数据包所带的VLAN标签与线路设置不符合的时候，PA会记录下这个情况，记录在异常数据包的vlan这一项，默认情况PA一样会接收这样的数据包，并且根据策略转发，通常不影响网络运行，但是有些时候，这样的情况也会引起一些网络异常。因此，我们通过这个命令将进来的数据包不是对应线路的VLAN数据包丢掉。floweyenatsetproxyname=7drop_dummyvlan=15）因为代理的不同阶段在可能不同的CORE上执行，但是在判断超时时，需要一个统一的时钟ticks，不同的CORE的ticks没法保证同步，特别是在初始化的时候，因为是在FLOWCORE上执行，所以nextick是FLOWCORE的，但是在空闲检查过程中，使用的是另外的CORE，这样因为TICK不同步导致存在偏差，有可能会过早判断超时；为了解决这个问题，使用这个命令将TICK统一放到空闲检查过程中；默认为0；floweyenatconfigtpflow_ticksync=16）清楚DNS牵引的计数，在界面里也能操作，但是当线路较多的时候，通过命令更快捷。floweyenatconfigcleardns=线路ID7）调整判断心跳IP不通时间floweyenatconfignatproxy_xpwatchdog=68）修改线路名称，当在web界面设置线路的时候，使用了一些特殊字符导致乱码，而且在web界面无法对这条线路进行操作，这个是因为shell对一些特殊字符敏感造成的，我们需要在后台对这个线路重新命名来解决这样的问题。floweyenatsetproxyname=wan-idnewname=newnameffng9）调整DNS统计失败的时间，使用DNS管控重定向时，当DNS服务器没有返回DNS解析结果，或者延迟较大时，我们会认为DNS牵引失败，可以通过这个命令调整DNS解析超时时长。floweyenatconfigrdrflow_ttl=1010）列出所有NAT会话floweyenatlistflow3.4floweyeapp命令1）开启增强代理，当要分流网页的时候，要开启这个效果才好，这个在系统维护--高级功能里可以设置floweyeappsethttptrackdns=1默认值是02）列出所有应用的英文和中文名称floweyeappshowtreeall3）忽略应用节点，当因为误识别，并且将节点记录到了某个应用上的时候，可以使用这个命令忽略这个应用的节点跟踪。floweyeappsetappnameignore_node=14）开起应用的节点跟踪，自定义协议默认是不做节点跟踪的，通过这个命令开启它。floweyeappsetappnamecachesn=15）关闭某协议的增强代理，当某个应用不需要被增强代理，或者不能被增强代理的时候，使用这个命令关闭这个应用的增强代理。floweyeappsetappnamedisable_tcproxy=13.5floweyepppoesvr命令1）调整内网PPPOE用户掉线后的老化时间，同时也调整WEB认证用户的老化时间。某个PPPOE用户无流量的时候超过120秒（默认值），PPPOESERVER会认为这个用户不在线了。就会对这个用户进行踢线操作。我们可以用这个命令调整这个时间的大小。floweyepppoesvrconfigdatattl=302）在使用radius认证的时候使用，当用户是异常下线，在radius那边确没有下线，radius不允许同账号拨号的时候，在PA上后拨的会踢掉先拨的，这样保证用户能及时上线，这个是默认的逻辑。但是在一些特殊情况，比如账号密码泄露，管理员只希望让先拨上的用户上线，后拨的无法上线。那么我们就通过这个命令改变这个逻辑。floweyepppoesvrconfigradius_keepfirstclnt=13）后续登陆的用户会收到691错误，这个只针对本地认证。在使用本地认证的时候使用，当用户是异常下线，比如客户重启了路由，在Panabit上没有收到下线的请求，为了保证用户能及时上行，同个账号后拨的会踢掉当前在线的。这个是默认的逻辑。我们可以通过这个命令改变这个逻辑。floweyepppoesvrconfigrelogin_refuse=13.6其它命令1）floweyepingcount=100if=7ip=114.114.114.114第七条线路ping114.114.114.114100次2）floweyegtpdataconfigenable=1进一步识别gtp流量3）floweyeflowsetargdropflow_ttl=5设置连接数控制阻断连接的老化时间4）floweyeflowsetargtrackicmp=0关闭icmp跟踪但是这样的话，ICMP只在网桥下才会通5）floweyeappobjconfigdefault_ttl=NNN虚拟身份的老化时间6）floweyeflowremovesrc=n.n.n.ndst=m.m.m.msport=nnndport=mmmproto=tcp|udp删除指定的某条连接，这个在某些特殊情况下要用到7）floweyepolicysetgbwbridge=4name=your-nameinbw=0outbw=0修改桥线路的名称8）floweyepppoeacctlist查看PPPOE在线的用户9）floweyejflowconfigipobj_install_all=1把从外面来的流量，也会创建内网IP对象，可以用来查外网攻击10）floweyeradiusconfigdump_if=emX将RADIUS数据包镜像给emX11）floweyeflowsetargsyn_waitime=60调整syn连接的老化时间12）floweyeicmpproxyconfigdelayus=10-20开启icmp劫持，默认值是0-0，表示关闭。