Panabit技术讲解_从头开始了解Panabit

Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网关的终极未来北京派网软件有限公司Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.网络的四个部分Page2接入管理优化审计Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Panabit的功能Page3从部署模式来看-网桥部署-网关部署-旁路部署Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Panabit的功能Page4从功能上来看-应用识别（核心）-路由（静态路由，NAT，NAT后路由，应用路由，DNS管控，缓存牵引，PPPOE服务器）-流量控制（动态限速，优先级，带宽保证）-上网行为管理（wifi共享控制，移动终端控制，http管控）-日志分析Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Panabit的功能Page5从应用场景来看-企业行为管理（封wifi、视频、购物、游戏，web认证）-网吧出口（优先级，动态限速，负载均衡，应用分流）-校园网出口（优先级，带宽保证，策略路由，应用分流）-小区网出口（PPPOE服务，认证计费，缓存牵引，负载均衡，应用分流，日志审计）-运营商出口优化（高性能NAT，流量控制，DNS管控，游戏加速、应用分流，日志分析）-大数据分析Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page6网桥部署-Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page7网桥部署的设置将两个数据口设置为一组网桥，每组网桥对应的两个接口是唯一的，一个接内网，一个接外网。“接内网”的端口接交换机，“接外网”的端口接路由器。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.错误（一）每组网桥由两个数据网卡组成，并且它们的网桥名称也相同。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.错误的设置（二）网桥只能是一进一出！不能一进两出，也不能两进一出，并且相同的网桥名称不能超过两个Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.错误设置（三）错误：在有链路汇聚环境的时候，认为网桥也能够这样汇聚起来。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.在有汇聚的情况下，网桥应该这样设置Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.测试网桥是否通Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.360WIFI控制1禁止私接wifi手机共享2禁止私接路由给PC共享Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.创建策略组Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.场景（一）在没有wifi覆盖的网络。阻断接入的手机Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.在策略组里添加策略Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.序号：100常用条件：全“任意”用户特征：移动设备数不小于“1”执行动作：“阻断”Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.策略做好以后，要调度策略组Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.1，缺省策略组：默认使用的策略组；2，策略调度表：可以根据时间，在线人数等条件进行策略调度；当满足调度表条件时，优先使用调度表匹配条件的策略。3，在任一时刻，最多只会有一个策略组被调度Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.当前匹配的调度表项，会以蓝色大字显示。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.策略调度成功后，在监控统计-当前策略-流量控制里，会显示当前调度的策略组。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.场景（二）有WIFI覆盖禁止私接WIFICopyright©2013Panabitand/oritsaffiliates.Allrightsreserved.首先区分，哪些是公共WIFI，哪些是私接WIFI。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.先将公用WIFI的IP放行Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.共享检测技术Page26共享检测技术简述-DPI应用检测-通用数据包检测（IPID轨迹）-移动终端检测Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.DPI应用检测方式Page27原理-某些应用程序在进行数据交互的时候，一些数据包中会带有本地网卡的IP信息，Panabit的DPI引擎能获取到这些IP地址的信息，以此为依据判断有共享用户。特点-能知道具体共享的内网IP地址，检测准确。-这个检测是在DPI识别顺带的，性能上的消耗可以忽略。-这只是某些应用程序的特性，比如迅雷、暴风等P2P类软件。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.通用数据包检测Page28原理-过记录数据包的IPID，绘出IPID的轨迹，以此为依据判断有共享用户。特点-只检测WINXP和WIN7系统。-客户机上网就能检测到，无需特别应用。-这样的检测十分灵敏，一台客户机也可能产生多条轨迹。-开启通用数据包检测，会消耗一定的系统资源，因此这种方式最多检测6个共享。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page29通用数据包检测（IPID轨迹）-标识（identification）：数据报的标识，用来标识出数据长度超过MTU分片时，进行重新组装数据的位置标识。这部分通常用来分析共享上网的特征。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page30IPID轨迹检测当启用“通用数据包检测”时，Panabit会根据时间和数据包的IPID绘图，在每一台内网机器作地址转换时，IPID的序号是没变化的，而每台机器又是随机从一个数开始，有规律单调增加，如果某一IP下共享了多台客户机，由于每台客户机IPID的起始值不同，那么在一段时间内，绘图就会发现多条轨迹，那么Panabit就会认为有多个共享用户。每条轨迹代表一个共享用户。Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page31IPID轨迹检测配置参数floweyeipidtrackerstat查看当前配置ipid_enable=11开启，0关闭ipid_learnmax=64判断IPID连续包的轨迹ipid_maxskip=8单机数据包最大缺失个数，大于不属于1个IPipid_minskip=6数据包缺失个数，小于属于1个IPipid_ttl=50轨迹老化时间修改配置举例floweyeipidtrackerconfigipid_ttl=10把轨迹的老化时间设置为10秒Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page32移动终端检测原理-根据数据包里包含的一些特殊字段，来判断数据包是来自移动设备特点-识别准确Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page33移动终端数据包数据包里包含的操作系统和硬件型号信息Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.共享检测的设置移动终端的老化时间调整命令：floweyedpiconfigmob_ttl=XXXXXX为老化的时间，单位是秒Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.常用的共享控制策略预期效果：不允许使用路由器，阻断所有的共享。关闭通用数据包检测Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.常用的共享控制策略预期效果：允许使用路由器，但是PC和移动设备不能同时使用。关闭通用数据包检测Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.常用的共享控制策略预期效果：允许使用路由器，PC控制在1-2以内。开启通用数据包检测Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.Page38旁路监控部署Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.应用场景内网流量监控运营商出口优化（结合panalog）大数据分析（结合panalog）Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.设置1-上行与下行分别镜像到两个数据接口1）设置Panabit的数据接口的工作模式为“监控模式”；2）将Panait的数据接口与交换机互联；3）设置交换机与路由lan口连接的端口为“被镜像端口”；4）设置“被镜像端口”的上行数据，镜像到交换机与Panabit“接内网”互联的端口上；5）设置“被镜像端口”的下行数据，镜像到交换机与Panabit“接外网”互联的端口上；Copyright©2013Panabitand/oritsaffiliates.Allrightsreserved.设置2-上行与下行都镜像到一个数据接口1）设置Panabit的数据接口的工作模式为“监控模式”；2）将Panait的一个数据接口与交换机互联，并且设置为“接内网”；3）设置交换机与路由lan口连接的端口为“被镜像端口”；4）设置“被镜像端口”的上行和下行数据，镜像到交换机与Panabit“接内网”互联的端口上；5）开启伪IP防护，并且填入内网IP段Copyright©2013Panabitan