随着此前TANGr6女皇版本的发布,Panabit终于开启了大唐的第六个大版本。
▶ 往期回顾:Panabit女皇版本,带着完整IPv6驾到!
经过两个月的不懈努力和精心打磨,Panabit TANGr6p1版本终于和大家见面了。新版本继承了TANGr6的优良传统,并在此基础上进行了深入的优化和创新。
TANGr6p1版本带来了一系列重要的更新,包括对QUIC协议的深度识别、自定义IP地理位置的灵活配置、iWAN IPv6地址的智能分配、以及FPGA智能网卡的全新支持等。除了这些新增功能外,我们还对现有功能进行了优化,如NAT模块的性能提升、TLS处理的改进、共享限速的区分管理等,同时还涉及到用户界面的多项细节优化。
闲话少叙,让我们和小编一起,探索TANGr6p1版本的新特性吧!
Update
功能新增
Part.1
QUIC增强识别
QUIC(Quick UDP Internet Connections,快速UDP互联网连接),是由谷歌在2013年提出的一种基于UDP的全新低延时互联网传输协议。
QUIC基于UDP协议,通过减少TCP三次握手、TLS握手,改进拥塞控制,避免对头阻塞的多路复用,前向冗余纠错等技术,大大减少连接建立期间的开销。
QUIC最初是为了提高Web页面的加载速度和改善用户体验而设计,现已被广泛应用于各种场景,包括但不限于Web浏览、视频流、在线游戏和实时通信服务等。
随着QUIC的广泛应用,对QUIC流量的识别和管理也提出了新的挑战。QUIC默认使用TLS1.3加密,新版本增强了对QUIC协议的识别能力,能够识别其中的域名信息,并关联到对应的会话,在此基础上实现域名管控、域名路由等功能,从而帮助用户对域名实施更精准的访问控制及流量路径优化。
在引擎参数中开启“QUIC解密”即可
Part.2
自定义IP地理位置库
Panabit支持在会话信息中查看用户访问的目标IP对应的地理位置和运营商信息,方便了解流量的去向,以及排查是否存在跨运营商访问的情况。
地理位置信息查看示例
IP地址库文件,可以在Panabit官网下载中心获取。
下载后导入设备即可
然而,标准的IP地理位置库可能无法满足特定用户对特定IP段地理位置信息的个性化需求。例如,在数据中心场景下,自用服务器选用IP地址可能出现与默认库中的IP冲突的情况。
因此,新版本增加自定义IP地理位置功能,用户可以根据自己的需求,添加或修改IP地址的地理位置和运营商信息,以便更准确地进行流量分析和管理。
自定义IP地理位置
Part.3
iWAN服务端分配IPv6地址
随着IPv6的逐步普及,网络的IPv6升级改造成为刚需。在IPv6网络的建设中,从用户端到出口网关,用户流量经过的所有中间设备通常都需要支持IPv6,从而带来了高昂的升级改造成本。
新版本中,iWAN服务端支持向客户端分配IPv6地址。
在用户客户端PC部署使用【Panabit iWAN客户端】软件,获取IPv6地址后,通过iWAN隧道连接到出口位置的Panabit网关,即实现不改变内网设备的基础上实现内网IPv6改造,充分利旧,大幅降低IPv6升级改造的成本。
iWAN Windows客户端可前往Panabit官网下载中心获取
Part.4
IP群组流量监控
在多分支网络环境中,当需要统计和监控各分支的流量和应用使用情况时,可使用Panabit上的“虚拟链路”功能来实现。
过往版本的虚拟链路,使用IP和网卡接口作为条件定义一条虚拟链路(最大4条),从而实现流量统计和监控。
在分支较多的场景,4条虚拟链路显然无法满足使用,因此,新版本增加IP群组链路功能,以IP群组和接口为条件定义链路,完成流量统计。IP群组链路是虚拟链路的Plus版本,可支持的链路数量为IP群组的最大个数。
可以查看该IP群组下的实时应用流量
Part.5
Portal认证支持CHAP
用户认证是网络安全和访问控制的关键环节,新版本增加了对Portal认证的CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)支持。CHAP是一种增强的认证协议,相对于PAP增加挑战(Challenge)的请求和响应,提供了更高级别的安全性,有效防止密码在传输过程中被截获或重放攻击。
Panabit作为BRAS,无需配置,自动适配PAP和CHAP
Part.6
增加FPGA智能网卡驱动
新版本增加对Panabit 16千兆口(8光+8电)智能网卡支持。相比传统的网卡,智能网卡具备更高的性能和端口密度。
提前剧透一下,在我们即将推出的新款优惠活动设备上,就搭载了这款FPGA智能网卡。关于新设备的具体信息,请大家持续关注我们后续的消息哟~
Update
功能优化
● NAT模块
对NAT模块进行全面优化,大幅提升NAT会话新建性能。同时改进UDP协议的分流能力,对于非首包识别的UDP会话,也能在后续报文中识别成功后正常分流。
● TLS处理优化
优化各模块对TLS的处理,以适应TLS新特性。
模块 | 优化说明 |
HTTP管控 | 实现SNI跨数据包后的阻断和TCP重置 |
WEB认证 | 实现SNI跨数据包后的HTTPS重定向(需搭配WEB认证2.0APP) |
● 共享限速区分IPv4和IPv6
在拥有独立的IPv4和IPv6出口带宽的场景下,为实现精细化管理,提高带宽利用率和用户体验,新版本共享限速功能支持对内网用户同一账户下针对IPv4/IPv6进行区分限速。
● 本地账号扩容
在配置文件/etc/PG.conf中,增加本地账号最大可支持数量的参数配置,以适应大规模用户管理的需求。
参数 | 说明 |
ACCT_POOLSZ=[number] | number为10进制数值,最大本地账号数量,默认为10240 |
● PPPoE代拨错误日志
增加PPPoE代拨错误日志,方便运维人员快速定位和解决拨号问题。
● iWAN服务IP分配
在SD-WAN组网时,通常会给客户端账号绑定一个固定IP,方便服务端和客户端直接写路由策略。
新版本优化iWAN服务端的IP分配策略,当同一账号多次拨入时,首个拨入客户端会分配绑定的IP,后拨入的则从地址池内分配IP,若地址池没有可分配的IP,则拨入失败。
● MAC认证
为了避免某IP反复进行MAC认证,对MAC认证进行如下优化:
1)去掉TTL参数,由retry(认证次数)和interval(认证间隔)控制认证时间和周期。
2)在用户管理模块增加remacauth参数来控制MAC免认证强制下线后,是否再发起MAC免认证。
3)为了避免在跨三层环境下做MAC认证时出现过多的无效的认证,IP上线10s后开始MAC认证请求。
● 日志发送
向Panalog发送的日志,增加WAN线路流量日志,IP流量日志增加用户名字段,同时引入了日志发送黑名单功能(不记录某些终端的上网日志)。
floweye logger config blackip=N //N为IP群组ID,0表示取消黑名单。除了流量日志,其它日志都不记录
● CGNAT动态分配
优化CGNAT功能,支持多个服务的动态分配,每条策略路由可以匹配不同的CGNAT服务,以适应多WAN口场景下的CGNAT需求。
● RADIUS用户名分割
某些RADIUS服务器推送的用户认证报文中,用户名信息可能包含域信息(用户名与域信息以“”符号分隔),新版本优化了对RADIUS用户名的处理,能够识别并分割用户名中的域信息。
● DHCP服务
DHCP服务新增QinQ条件匹配,允许更精细的VLAN条件设置。
● WEB认证
增加认证IP功能,即只对群组内的IP进行认证,更灵活地进行控制。
Update
界面优化
● 策略组拖动
改进策略组拖动的逻辑,更加符合用户的直觉和预期。
● 分页页面查询
在分页显示的页面中,在任何分页页面查询,都能显示出查询内容。
● 流量统计页面
提供流量统计用户排名的刷新控制选项。
流量统计趋势图增加最大流量、最小流量、平均流量等参数显示。
● 菜单页面调整
去除【网络设置】>【CGNAT】菜单,合并至【网络设置】>【路由/NAT】。
去除【网络设置】>【DHCP中继】菜单,合并至【网络设置】>【DHCP服务】。
新增【虚拟专网】>【iWAN用户】菜单。
Update
特征库更新
● 新增“微信登录”等24个应用特征
● 更新“优酷移动”等34个应用特征
Update
下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版/网吧版/SMB版/流媒体版)。
其中,ARM架构的Panabit(如AX50系列),请选择ARM的版本进行下载。