超实用的PANABIT策略配置
Panabit策略设置
明确自己的业务要求,就能在Panabit中清晰的设置策略.
目前,我这里最多11台电脑同时上网,ADSL带宽12Mb,白天上班时间限制视频和游戏,下班时间可以随便玩。
如不做限制,有6个人看视频的话,其他的人看网页都会不流畅。
还有1个原因是强迫同事在11点前休息,所以在晚上10点时就禁止游戏和视频,要不同事没足够自控能力,熬到12点,第2天精力不会好。
IP群组定义2个,1个用于不限制的,譬如我,1个用于自制力不强的同事。
也可以按公司部门来划分。
只做了流量控制。
同事每人给2Mb下行流量,限制P2P的上行为400kb,没限制前,P2P上行到了5Mb之多。
非工作时间,允许视频和游戏。
该休息了,断掉视频和游戏,只允许网页和QQ通信等。
以前网吧控制通宵,说是12点断网,但是利益驱动,他们也没坚持实现。
时间调度是控制星期一~星期六,星期天不控制。
我这里不是双休。
注意7、9,从22:00~5:00得分成2部分写,时间从大到小的写法是不可以的。
Panabit配置
Panabit配置Alpha12008-03-07服务器安装完之后自然要开始配置了,还是第一次配置,自然要多向论坛里面的大侠们学习学习啦。
不过可能是我搜索的技术比较差,没有搜索到几篇,就自己动手配置一下先将就着用。
首先,要从公司对Internet需求出发,这个我们都很清楚,在配置流量控制的时候要考虑的不是怎么封堵,而是怎么放行才恰到好处。
这里就先谈谈我对以下配置的考虑:1、首先P2P下载绝对要首先杀出,这也是panabit开发组的一个出发点吧,我想也是所有网管保证网络畅通的第一想法吧,但是在使用过程中发现如果吧P2P杀出,对某些部门的用户有一定的不便,算了,限制在50K之内应该没有多少影响吧,使用之后看效果如何。
2、公司能上Intel的用户,一般都有下载一些小软件的爱好,但是需求不是那么高的,也就是不着急着用,慢点就慢点吧,可以考虑只限速(开放http分块下载和伪IE下载的限速就能保证大多数软件都可以使用,又不占带宽,论坛里面有一篇《对迅雷实行准确限速的规则设置方法》,借用一下他的思想)3、上班时间绝对不允许看电视、玩网游以及其他一些网络娱乐,可以阻断。
不允许看股票,但是呢,如果我把这个阻断,恐怕老板是第一个来找我麻烦的(各个部门的大哥大姐也会找麻烦,做人要低调吖,不能做的太绝,限速总可以吧,股票交易软件比较多,现在Panabit只提供3种的,哥们,不好意思,不是用那3种的等着被限速吧。
)4、对信息技术部(偶的部门)和总经理室成员必须不同对待,兄弟和给钱的(俗了点,呵呵)总不能亏待吧,如果网速都被这些人占了再调整吧。
5、本人对下载有很大兴趣,不过会自己限速,但是现在有这个限速的好软件,就让软件来约束一下,顺便可以看看软件的执行力如何。
本着以上5点想法开始以下设置,可能是偶的网络管理知识有限,对软件的设置中存在一些偏差,还请各位大大们多多批评指正:(一)网络设置(1)网络接口这里值得一提的是管理端口的IP设置,由于我们公司的网络管理模式是内外网物理隔绝,这个管理端口显得格外重要了。
panabit配置
一、设备连接拓补图说明:下图为一个流控设备的网络拓补图:流控设备作为网桥以便于对经过它的数据进行协议分析,从而达到对企业内部需要封锁的协议进行封堵。
其网线接口有严格的规定,否则将达不到预期的效果。
拓补图1:该企业只有一台路由器+若干交换机,在实际的应用中,由于路由器的功能限制,网络管理员很难对一些应用程序、网上电影、视频等做一些有效的封锁,像迅雷BT方面也是相当难以控制的。
针对这种类型的网络环境,只需要在路由器与交换机之间加一台流控设备便可以对网络中的BT、网上电影、WEB视频、网页游戏做到有效的管理与封锁。
使用本设备不会对企业内网造成影响,企业内网使用的如DHCP、DNS、WINS、FTP 等所有协议不会造成任何影响!另外受控的用户端也不需要附加任何设定,对用户端而言这些操作都是透明的。
拓补图2:该企业拥有多条上网出口线路,存在多台路由器。
企业使用本流控设备也不会对网络造成影响。
如下图所示,只需要在流控设备上添加一台HUB或是交换机,同样也能实现对网上视频、电影、Bt等有效的管制。
用户的电脑网关无论指向哪一个路由器都可以,之间的应用继续使用,不会对用户端造成影响!如下图示的拓补:二、连接到panabit流控主机本次实例以192.168.10.21(Panabit 流控主机)为实例:◆在局域的一台机器上打开IE浏览器,在地址栏输入主机的地址,如https://192.168.10.21备注:如果你使用的IE7或是IE8会提示安全证书有问题,请点击【继续浏览此网站】◆在弹出的验证窗口中输入账户及密码admin/password◆验证通过之后,会看到以下画面,这是系统的流量概况图。
恭喜你!此时你已成功连接到panabit主机了!三、配置配置panabit的管理接口与数据接口Panabit的管理接口与数据接口功能区分:管理接口:用于网络管理员通过IE进行连线管理数据接口:用于实现网桥对当前数据进行过滤◆点击【网络配置】的选项卡、可以看到当我们使用的管理接口FXP0,你可以根据需要修改管理IP地址。
多拨和Panabit策略V2
方案选择-推荐方案二
方案一缺点是较为被动,如果每天操作工作量较 大; 方案一优点是比较灵活,如果boss里面的允许 多个信息点的用户较多比较适合用这种方法; 方案二的缺点是一旦使用,在该BAS下的所有用 户都不能成功拨号2次及以上,即使在boss里允 许这个用户有2个信息点; 方案二的优点是方法简单有效,再结合防止用户 漫游的VLAN绑定,就能很好的防止资源流失
限流策略
添加后用户再次访问时,可被正确识别为WWW协议,而不受限流类略源自影响。限流策略
游戏代理策略
游戏应用分为WEB类、客户端类,WEB类多使用80端口,识别多为 WWW协议,腾讯游戏较为复杂,可能会出现QQ相关的识别。客户端 类由于游戏机制的不同,识别不是很统一,尤其是大型的客户端类游戏, 例如英雄联盟,根据游戏机制分为三部分,登录、聊天、房间,其中房 间服务器都被识别为中华网游中的特种部队/英雄联盟,登录识别为其它 HTTPS, 如果使用游戏代理方式,只能代理识别为英雄联盟的房 间服务器,对于登录和聊天服务器是不会进行代理,这样登录和聊天所 走NAT出口任意一条出现波动都会导致掉线。观察可以发现登录和聊天 分别使用的端口为5223和2099,对这两个端口进行自定义协议创建, 命名为LOL登录,对这个自定义协议进行代理。 (注意:有些端口有可能复用,建议在添加代理前,使用虚拟链路方式观 察是否为固定应用端口,避免流量过大导致代理口拥塞)
如何防范
方案一:在pppoe的context里面新建一个(地 址池)profile,定期组织人员在高峰期将多拨 用户筛选出来后,在boss里将这类用户放入这 个地址池,配置如下: subscriber profile limit1 ip address pool port-limit 1
Panabit配置手册
Panabit配置手册
Panabit的网卡分配情况:
一、禁止QQ、MSN等即时通讯工具
详细步骤:
1.创建IP群组,命名为“禁止QQ”
2.创建协议组,命名为“禁止QQ”
点击“成员编辑”,左边列出了你所安装的Panabit目前版本所包含的特征库,选择一个或多个协议将其“添加至”右边即可,添加完后须“提交”才能生效。
3.策略管理
4.添加策略
在“应用协议”中选择协议,之前自定义的协议组会在这里调用,当然,也可以调用特征库中的协议。
5.策略调度
策略编辑完后,系统里只是有了这个规则的存在,但并没有应用到系统中。
所以,需要进行策略的调度,注意,在以后做的每条策略都需要做同样的调度动作。
在调度里可以设置策略生效的时段
注意:在任一时刻,只能有一个策略组生效
我们来看下策略使用后的结果:
大概过了10秒钟以后,QQ自动离线,策略配置成功。
二、禁止下载的配置
1.创建IP群组
2.添加禁止下载的文件格式类型
3.创建策略组
4.添加策略
5.策略调度
三、禁止访问某个或多个网站
1.创建IP群组
2.创建协议组,编辑成员
3.添加策略
4.调度策略
四、只允许访问某个或多个网站
1.创建域名群组
这里添加允许访问的域名
2.创建策略组
注意:此策略需要在http管控中创建
3.编辑策略
4调度策略
这里需要知道的是,策略成功调度以后,在第一次打开这些允许的网站的时候,会感觉非常缓慢,但是以后的访问就没有什么问题了,不必担心。
五、一些配置的实例
1.只能发邮件,放行某IP
2.限制迅雷。
Panabit流量管理系统使用经验
1 Panabit体系结构Panabit支持两种接入和部署方案:旁路监听与透明网桥模式。
大多数用户使用后者。
在“透明网桥”模式中,Panabit以透明网桥方式部署在出口链路上,对出口链路上的双向流量进行协议分析、统计,同时根据所设定的规则对流量进行灵活的限制和分配。
为避免Panabit 遭受扫描、攻击,网桥上不需要配置IP地址,用户可通过专门的管理端口对Panabit进行配置管理。
典型的部署方式如图1所示。
图1 Panabit的透明网桥模式使用透明网桥模式接入,用户既可以统计流量,又可以做访问控制和带宽管理。
在“旁路监听”模式中,Panabit设备以旁路方式部署在交换机或路由器旁,通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。
在旁路监听模式下,Panabit只能对流量做分析统计,而不能做控制。
图2 Panabit监控模式许多初学者不理解“网桥”的意思。
在Panabit中,网桥总是成对出现的,由两个网卡组成,一个网卡连接内网,一个网卡连接外网,数据通过这个网桥。
Panabit对通过网桥的数据进行分析、控制。
2 Panabit安装Panabit的计算机,硬件配置要求P3 800Mhz或以上、256M内存或以上、3块网卡,256MB 以上电子盘或硬盘均可,光驱(安装软件用,安装完毕可以取下)。
推荐使用Intel 系列网卡,也可以使用Rtl8139等网卡。
如果你是第一次使用Panabit,建议你从Panabit网站下载live CD版(是一个ISO镜像,大小只有10几兆),下载之后,刻录成光盘,用该光盘启动要安装Panabit的计算机,很快就可以安装完毕,安装步骤如下:(1)在出现login后,使用用户名root、密码root登录(都是小写),如图3所示。
(2)登录之后,运行 ./setup启动安装,如图4所示。
注意,在Setup前面有个斜线和英文的句点。
Panabit技术讲解_从头开始了解Panabit
常用的共享控制策略
开启通用数据包检测
预期效果:允许使用路由器,PC控制在1-2以内。
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
旁路监控部署
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
1,缺省策略组:默认使用的策略组; 2,策略调度表:可以根据时间,在线人数等条件进行策略调度;当满足调度表条件时,优先使用调度表匹配条件的策略。 3,在任一时刻,最多只会有一个策略组被调度
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
360WIFI控制
1禁止私接wifi手机共享
2禁止私接路由给PC共享
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
创建策略组
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
Page 38
应用场景
内网流量监控
运营商出口优化(结合panalog)
大数据分析(结合panalog)
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
设置1-上行与下行分别镜像到两个数据接口
Copyright © 2013 Panabit and/or its affiliates. All rights reserved.
Panabit简明配置手册
Panabit简明配置手册1.Web管理界面(1) 登陆Web界面:https://192.168.1.100 (IP地址是登陆Web界面前,在FreeBSD系统临时设置的IP地址)使用ifconfig命令不加参数,即可查看系统识别的网卡设备名称和激活连线状态,找到连上网线Active的网卡,使用ifconfig fxp0 192.168.1.200 临时指定IP地址(此列fxp0是第一块intel网卡的设备名称,FreeBSD下不同网卡的设备名称不同,不同于Linux下以eth0、eth1这样顺序编号)。
提示:Panabit不使用FreeBSD系统的网络配置文件,通过命令行指定的IP地址仅临时使用,启动Panabit 时,根据Panabit系统的网络配置文件初始化,所以网络设置须通过登陆Web管理界面进行设置并提交后才会永久有效。
(2) Web界面缺省用户名、密码:用户名:admin密码:panabit2.配置管理Panabit配置管理分为三个部分:网络设置、系统参数、策略管理,其中主要的是策略管理。
(1)网络设置:工作模式与IP地址:示例:如下图所示,em0与em1构成网桥,分别连接外网与内网;em2做为管理口配置管理IP。
(如需工作在监听模式,只需点击对应网卡的“配置”选择“监听模式”并输入IP即可)缺省网关:输入缺省网关,提交即可。
注:系统工作在网桥模式时,输入缺省网关的意义在于:对于那些加密的P2P协议,必须保证Panabit自身可以访问到外网,主动探测引擎才可正常工作,否则这些加密协议将有可能被识别为未知应用。
(2)系统参数:内网IP统计:选择是否打开内网IP流量统计功能,并设置内网IP最大空闲时间(规定时间内无任何流量动作的空闲IP 将被系统自动从统计库中删除),提交。
注:内网IP流量统计功能是为中小企业用户量身定做的一项特色功能。
由于该功能会相应的降低系统的一些性能,所以在运营商及用户数量庞大的网络中,如需首要保证性能,则建议关闭此功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下面是我自己配置使用在外网流控上的策略,这是我使用pa流控免费版以来,自己的理解和总结,跟大家探讨一下。
这些策略的目的是控制内网p2p下载、在线视频、网络游戏等上班时间受限制的流量,提高每用户上网浏览的体验,禁用私接路由器和随身wifi热点,做到每个用户平等共享出口带宽
创建策略之前,先做准备工作,创建后面用到的IP群组和数据通道以及自定义协议。
1、创建IP群组,目的:分组控制,比如公司领导带宽高些、用无线路由不受限制,放在“不受限制的IP”和“允许无线的IP”里面。
创建IP群组,例如领导的“不受限制的IP”
2、创建数据通道,目的:让那些不受网管欢迎的应用协议走比较窄的通道,划分一个较宽的通道留给打开网页等常规应用,提高上网浏览的体验。
使用“允许”的,是直接走网桥全部带宽的,不用走数据通道。
创建数据通道,可以自己定义名称,我这里的“受限”通道给受限的协议用,上网通道给常规浏览页面用
然后编辑数据通道的优先级,
用到优先级就编辑,不用优先级就使用整个通道
3、创建自定义协议,目的:把某些需要统一控制的应用协议圈到一起,方便做控制。
自定义协议组,创建自己命名的协议组,可以看到我的“上网”协议组和“受限协议组”包括的协议
添加应用协议到自定义的协议组
编辑自定义协议组包含哪些协议,选中某个协议后点“添加至”,最后添加完了别忘点“提交”
4、创建流量控制的策略组
我设置的流量控制“上班控制”协议组
说明:100是放行允许的无线路由和移动设备的
200是阻止私接路由器、热点和网卡桥接共享的
210是阻止安卓和苹果手机平板等移动上网的
300是带宽比较高的群组,而且可以看视频玩游戏下迅雷比如公司领导们和你自己
500和510分别控制正常上网行为(浏览网页)的下行和上行,下行优先级和带宽高,上行反之
600和610分别控制自定义协议组“受限”里那些协议的下行和上行,同上,带宽在上班时间很低
700和710控制每个IP用到的其他协议,同样下行上行分别控制
后面都是”停止“,流控引擎匹配到符合前面每个选项的数据流(动作列左边都是匹配项),就给予这条规则设置的通道和速率
规则的意思是:线路是这个么?数据流向是这个么?内网地址是这个么?外网地址是这个么?协议是这个么?应用是这个么?共享有这些(或更多)么?移动设备有无?(不填就是忽略此项,也就是any)前面每个项目都匹配了就执行后面的限制。
匹配后”继续”和“停止”是指规则继续还是停止(如果后面有各个完全匹配项相同的规则,继续才有效),不是让数据流继续或停止。
这样每IP的下行带宽就是1800+600+500=2900kbps,上行带宽是500+100+100=700kbps
”下班控制“策略组可以适当放宽,因为下班后人少
特别说明:这里和下面的共享检测我使用数字1,是因为开启“通用数据包检测方式”会导致共享检测不稳定,所以我选择“不启用”,是否开启,结合实际情况自己决定,也可以自己多做几次试验控制效果。
见下图:
5、调度流量控制策略,不调度不会生效
做完策略组,别忘了调度,最好分时间段
6、HTTP管控策略,我只做了“上班连接策略”应用到所有时段
http管控也做上,可以更严格控制私接路由和wifi热点和使用无线上网终端(安卓、苹果手机和平板)
动作参数这里设置为信息提示,让终端用户自律
7、调度http管控策
略
http管控的策略调度,我这里是全天候调用的
这样做下来,我上述流控的主要目的基本就可以实现了:既限制了每IP 总速率防止某些IP过分抢占带宽,又压制了不受欢迎的应用流量,还保证了上网浏览网页的体验效果,禁止内网私接路由器、360wifi等各种随身热点。
各位网管可以试一下,这款流控是提供免费版无限期使用的,只有可控256个IP数限制,超出256的IP不受控制但是可以正常上网,不过一般小公司也不会超过256个IP吧,当然超出数量的还是建议购买集成在硬件上的pa收费版,大公司也不缺那些钱买收费带优质服务的流控设备了。