1、Copyright 2013 Panabit and/or its affiliates.All rights reserved.网关的终极未来北京派网软件有限公司Copyright 2013 Panabit and/or its affiliates.All rights reserved.网络的四个部分Page 2接入管理优化审计Copyright 2013 Panabit and/or its affiliates.All rights reserved.Panabit的功能Page 3n 从部署模式来看-网桥部署-网关部署-旁路部署Copyright 2013 Panabit and/
2、or its affiliates.All rights reserved.Panabit的功能Page 4n 从功能上来看-应用识别(核心)-路由(静态路由,NAT,NAT后路由,应用路由,DNS管控,缓存牵引,PPPOE服务器)-流量控制(动态限速,优先级,带宽保证)-上网行为管理(wifi共享控制,移动终端控制,http管控)-日志分析Copyright 2013 Panabit and/or its affiliates.All rights reserved.Panabit的功能Page 5n 从应用场景来看-企业行为管理(封wifi、视频、购物、游戏,web认证)-网吧出口(优先级
3、,动态限速,负载均衡,应用分流)-校园网出口(优先级,带宽保证,策略路由,应用分流)-小区网出口(PPPOE服务,认证计费,缓存牵引,负载均衡,应用分流,日志审计)-运营商出口优化(高性能NAT,流量控制,DNS管控,游戏加速、应用分流,日志分析)-大数据分析Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 6网桥部署-Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 7网桥部署的设置将两个数据口设置为一组网桥,每组
4、网桥对应的两个接口是唯一的,一个接内网,一个接外网。“接内网”的端口接交换机,“接外网”的端口接路由器。Copyright 2013 Panabit and/or its affiliates.All rights reserved.错误(一)每组网桥由两个数据网卡组成,并且它们的网桥名称也相同。每组网桥由两个数据网卡组成,并且它们的网桥名称也相同。Copyright 2013 Panabit and/or its affiliates.All rights reserved.错误的设置(二)网桥只能是一进一出!网桥只能是一进一出!不能一进两出,也不能两进一出,并且相同的网桥名称不能超过两个不
5、能一进两出,也不能两进一出,并且相同的网桥名称不能超过两个Copyright 2013 Panabit and/or its affiliates.All rights reserved.错误设置(三)错误:在有链路汇聚环境的时候,认为网桥也能够这样汇聚起来。Copyright 2013 Panabit and/or its affiliates.All rights reserved.在有汇聚的情况下,网桥应该这样设置在有汇聚的情况下,网桥应该这样设置Copyright 2013 Panabit and/or its affiliates.All rights reserved.测试网桥是否
6、通Copyright 2013 Panabit and/or its affiliates.All rights reserved.360WIFI控制1禁止私接wifi手机共享2禁止私接路由给PC共享Copyright 2013 Panabit and/or its affiliates.All rights reserved.创建策略组Copyright 2013 Panabit and/or its affiliates.All rights reserved.场景(一)在没有wifi覆盖的网络。阻断接入的手机Copyright 2013 Panabit and/or its affili
7、ates.All rights reserved.在策略组里添加策略Copyright 2013 Panabit and/or its affiliates.All rights reserved.序号:100常用条件:全“任意”用户特征:移动设备数不小于“1”执行动作:“阻断”Copyright 2013 Panabit and/or its affiliates.All rights reserved.策略做好以后,要调度策略组Copyright 2013 Panabit and/or its affiliates.All rights reserved.1,缺省策略组:默认使用的策略组;
8、2,策略调度表:可以根据时间,在线人数等条件进行策略调度;当满足调度表条件时,优先使用调度表匹配条件的策略。3,在任一时刻,最多只会有一个策略组被调度在任一时刻,最多只会有一个策略组被调度Copyright 2013 Panabit and/or its affiliates.All rights reserved.当前匹配的调度表项,会以蓝色大字显示。Copyright 2013 Panabit and/or its affiliates.All rights reserved.策略调度成功后,在监控统计-当前策略-流量控制里,会显示当前调度的策略组。Copyright 2013 Panab
9、it and/or its affiliates.All rights reserved.场景(二)有WIFI覆盖禁止私接WIFICopyright 2013 Panabit and/or its affiliates.All rights reserved.首先区分,哪些是公共WIFI,哪些是私接WIFI。Copyright 2013 Panabit and/or its affiliates.All rights reserved.先将公用WIFI的IP放行Copyright 2013 Panabit and/or its affiliates.All rights reserved.Co
10、pyright 2013 Panabit and/or its affiliates.All rights reserved.共享检测技术Page 26n 共享检测技术简述-DPI应用检测-通用数据包检测(IPID轨迹)-移动终端检测Copyright 2013 Panabit and/or its affiliates.All rights reserved.DPI应用检测方式Page 27n 原理-某些应用程序在进行数据交互的时候,一些数据包中会带有本地网卡的IP信息,Panabit的DPI引擎能获取到这些IP地址的信息,以此为依据判断有共享用户。n 特点 -能知道具体共享的内网IP地址,
11、检测准确。-这个检测是在DPI识别顺带的,性能上的消耗可以忽略。-这只是某些应用程序的特性,比如迅雷、暴风等P2P类软件。Copyright 2013 Panabit and/or its affiliates.All rights reserved.通用数据包检测Page 28n 原理-过记录数据包的IPID,绘出IPID的轨迹,以此为依据判断有共享用户。n 特点 -只检测WINXP和WIN7系统。-客户机上网就能检测到,无需特别应用。-这样的检测十分灵敏,一台客户机也可能产生多条轨迹。-开启通用数据包检测,会消耗一定的系统资源,因此这种方式最多检测6个共享。Copyright 2013 P
12、anabit and/or its affiliates.All rights reserved.Page 29通用数据包检测(IPID轨迹)-标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分通常用来分析共享上网的特征。Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 30IPID轨迹检测当启用“通用数据包检测”时,Panabit会根据时间和数据包的IPID绘图,在每一台内网机器作地址转换时,IPID的序号是没变化的,而每台机器又是
13、随机从一个数开始,有规律单调增加,如果某一IP下共享了多台客户机,由于每台客户机IPID的起始值不同,那么在一段时间内,绘图就会发现多条轨迹,那么Panabit就会认为有多个共享用户。每条轨迹代表一个共享用户。Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 31IPID轨迹检测配置参数floweye ipidtracker stat 查看当前配置ipid_enable=1 1开启,0关闭ipid_learnmax=64 判断IPID连续包的轨迹ipid_maxskip=8 单机数据包最大缺失个数,大于不
14、属于1个IPipid_minskip=6 数据包缺失个数,小于属于1个IPipid_ttl=50 轨迹老化时间修改配置举例floweye ipidtracker config ipid_ttl=10 把轨迹的老化时间设置为10秒Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 32移动终端检测n原理 -根据数据包里包含的一些特殊字段,来判断数据包是来自移动设备n特点 -识别准确Copyright 2013 Panabit and/or its affiliates.All rights reserved.
15、Page 33移动终端数据包数据包里包含的操作系统和硬件型号信息Copyright 2013 Panabit and/or its affiliates.All rights reserved.共享检测的设置移动终端的老化时间调整命令:floweye dpi config mob_ttl=XXXXXX为老化的时间,单位是秒Copyright 2013 Panabit and/or its affiliates.All rights reserved.常用的共享控制策略 预期效果:不允许使用路由器,阻断所有的共享。关闭通用数据包检测Copyright 2013 Panabit and/or it
16、s affiliates.All rights reserved.常用的共享控制策略 预期效果:允许使用路由器,但是PC和移动设备不能同时使用。关闭通用数据包检测Copyright 2013 Panabit and/or its affiliates.All rights reserved.常用的共享控制策略 预期效果:允许使用路由器,PC控制在1-2以内。开启通用数据包检测Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 38旁路监控部署Copyright 2013 Panabit and/or its
17、 affiliates.All rights reserved.应用场景 内网流量监控 运营商出口优化(结合panalog)大数据分析(结合panalog)Copyright 2013 Panabit and/or its affiliates.All rights reserved.设置1-上行与下行分别镜像到两个数据接口1)设置Panabit的数据接口的工作模式为“监控模式”;2)将Panait的数据接口与交换机互联;3)设置交换机与路由lan口连接的端口为“被镜像端口”;4)设置“被镜像端口”的上行数据,镜像到交换机与Panabit“接内网”互联的端口上;5)设置“被镜像端口”的下行数据
18、,镜像到交换机与Panabit“接外网”互联的端口上;Copyright 2013 Panabit and/or its affiliates.All rights reserved.设置2-上行与下行都镜像到一个数据接口1)设置Panabit的数据接口的工作模式为“监控模式”;2)将Panait的一个数据接口与交换机互联,并且设置为“接内网”;3)设置交换机与路由lan口连接的端口为“被镜像端口”;4)设置“被镜像端口”的上行和下行数据,镜像到交换机与Panabit“接内网”互联的端口上;5)开启伪IP防护,并且填入内网IP段Copyright 2013 Panabit and/or its
19、 affiliates.All rights reserved.单个“数据接口”接收上行和下行流量时,打开“伪IP防护”功能,将内网IP地址段填进去。“伪IP防护”功能打开后,实际上就告诉了Panabit,哪些IP是内网的。源地址为内网IP的流量就是上行流量;源地址为外网IP的就是下行流量。Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 43网关部署 Copyright 2013 Panabit and/or its affiliates.All rights reserved.路由的概念路由:是路由器
20、指从一个接口上收到数据包,转发到另一个接口的过程。我们常常会把NAT当做路由。NAT指的是地址转换,它是一种把内部私有网络地址(IP地址)转换成合法网络IP地址的技术。在NAT动作之后,转发到下一跳(下个路由器),这个过程才是路由。Copyright 2013 Panabit and/or its affiliates.All rights reserved.第一步确定“数据接口”的“角色”网关部署的设置网关部署的设置“接内网”可用于“LAN接口”和“PPPOE服务器”“接外网”可以用于“WAN线路”和“PPPOE旁路”Copyright 2013 Panabit and/or its aff
21、iliates.All rights reserved.第二步,设置接口线路Copyright 2013 Panabit and/or its affiliates.All rights reserved.设置WAN线路时的注意事项。接口名称:尽量不用特殊符号。心跳服务器IP:wan线路会自动ping这个心跳IP,来判断这条wan线路和外网是否是通的。如果ping不通,则认为这条线路是不可用的。启用防封杀:如果启用由这条wan线路出去的数据包的IPID会是连续的。IP地址与网关地址:这里我们不需要填掩码,只要IP与网关地址二层上能互通即可。DNS服务器地址:做DNS管控的策略时才会用到。Cop
22、yright 2013 Panabit and/or its affiliates.All rights reserved.第三步,设置策略路由Copyright 2013 Panabit and/or its affiliates.All rights reserved.LAN到LAN的路由LAN到LAN的路由主要作用是实现两个不同网段之间的互访。Copyright 2013 Panabit and/or its affiliates.All rights reserved.LAN到WAN的路由例如,将访问 172.16.0.0/16这个目的网络,路由到WAN线路策略里与LAN到LAN的路由
23、策略的区别就是,路由线路选择一条WAN线路。与NAT的区别就是,数据包的源地址没有改变,后面设备看到数据包的源地址不会是WAN线路的地址。Copyright 2013 Panabit and/or its affiliates.All rights reserved.NAT后路由NAT后选路就是,先进将源地址NAT成“NAT线路”的地址(NAT线路可以是一个线路群组),然后再从另一条wan线路路由出去。这个功能常用与运营商之间的私网互联和“光纤走上行AD走下行”Copyright 2013 Panabit and/or its affiliates.All rights reserved.负载
24、均衡WAN线路的负载均衡PPPOE接口的负载均衡Copyright 2013 Panabit and/or its affiliates.All rights reserved.WAN线路的负载均衡线路群组将就若干条线路组合在一起内置了8个线路组WAN线路可以放到不同的线路组中是基本连接的负载均衡,而不是数据包,这和传统骨干路由器上的负载均衡有显著的差别。Copyright 2013 Panabit and/or its affiliates.All rights reserved.设置群组负载类型目前有四种方式:源地址、目的地址、源负载类型目前有四种方式:源地址、目的地址、源+目、地址目、地
25、址+端口。端口。我们可以根据应用特点来选择负载类型,例如网银登陆,必须我们可以根据应用特点来选择负载类型,例如网银登陆,必须IPIP一致,那么我们可以选择源地址负载;一致,那么我们可以选择源地址负载;P2PP2P的应用连接多、流的应用连接多、流量大。那么就用地址量大。那么就用地址+端口负载。这样相对比较均衡。端口负载。这样相对比较均衡。相同的链路可以加到不同的群组。比如有相同的链路可以加到不同的群组。比如有1010条链路,条链路,把这把这1010条链路同时全部加入条链路同时全部加入A A群组和群组和B B群组,群组,A A群组以群组以“源地址源地址”的方式的方式负载,负载,B B群组以群组以“
26、地址地址+端口端口”的方式负载。我们可以把网页走的方式负载。我们可以把网页走A A群组,群组,P2PP2P走走B B群组,这样群组,这样1010条线路即解决了网银条线路即解决了网银IPIP验证的问题验证的问题,也解决了均衡的问题,也解决了均衡的问题 Copyright 2013 Panabit and/or its affiliates.All rights reserved.添加线路+按钮,用来添加线路群组的成员,把需要负载均衡的wan线路添加到群组里Copyright 2013 Panabit and/or its affiliates.All rights reserved.添加线路点+
27、按钮后,会列出可以添加的WAN线路权重:负载连接的比例,可选1-10。这里以各个线路之间的带宽比例为参考,带宽越大权重越高Copyright 2013 Panabit and/or its affiliates.All rights reserved.策略路由在策略路由的策略中,目标线路调用相应的线路群组。Copyright 2013 Panabit and/or its affiliates.All rights reserved.PPPOE服务器的负载均衡多个物理接口对应多个PPPOE服务器,每个PPPOE服务器设置一个最大接入,当一个PPPOE服务器接入到上限后,就不会再接入用户,而其它
28、没有达到上限的PPPOE服务器就会继续接入,从而现实各个网卡接入用户均衡。Copyright 2013 Panabit and/or its affiliates.All rights reserved.DNS管控DNS管控就是针对满足策略条件的DNS的数据包做下列的动作。条件路径(网桥)、VLAN、源接口(LAN接口)、源地址、DNS服务器(目的地址)、访问域名动作允许、丢弃、重定向、劫持Copyright 2013 Panabit and/or its affiliates.All rights reserved.重定向重定向的目标是一条线路,作用是把请求域名解析的DNS服务器地址改变。C
29、opyright 2013 Panabit and/or its affiliates.All rights reserved.重定向实现原理假设WAN线路IP是119.57.135.178,DNS服务器是219.141.140.10。重定向后,对数据包的源地址和目的地址都做了一次改变。本来去114.114.114.114解析域名,变成了到219.141.140.10上去解析。由于DNS服务器不同,解析的结果也肯定会不一样。Copyright 2013 Panabit and/or its affiliates.All rights reserved.劫持劫持就是将域名的解析结果,变成一个固定
30、的IPCopyright 2013 Panabit and/or its affiliates.All rights reserved.劫持的效果演示解析,220.181.138.29是正常的结果劫持后,解析,得到的结果变成了1.1.1.1Copyright 2013 Panabit and/or its affiliates.All rights reserved.DNS管控策略的运用把P2P和视频的请求重定向到联通,其它的去电信,非法的丢弃。Copyright 2013 Panabit and/or its affiliates.All rights reserved.应用分流的原理和方式
31、Page 65n NAT基于应用的源地址转换n 保证连接的一致性1.节点跟踪2.增强代理3.trackdns n DNS管控Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 66应用分流的设置 n应用路由-策略路由标识:策略执行的顺序条件:以应用为条件动作:NATCopyright 2013 Panabit and/or its affiliates.All rights reserved.Page 67开启trackdns系统维护-高级功能-www加强代理Copyright 2013 Panabit a
32、nd/or its affiliates.All rights reserved.Page 68策略路由1,有“包计数”,表面有数据经过了这条策略2,策略路由没有“继续”的属性,指定了目标线路后,就会从指定的目标线路NAT出去。3,策略条件应该“由小到大”Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 69连接信息-判断是否分流成功n查看应用走了什么线路n查看应用的连接是否有流量Copyright 2013 Panabit and/or its affiliates.All rights reserved.Page 70应用分流的应用场景n单运营商接入n双运营商接入n多运营商接入n在遇到问题时如何排查Copyright 2013 Panabit and/or its affiliates.All rights reserved.Copyright 2013 Panabit and/or its affiliates.All rights reserved.Q&A?Page 72
