上网行为管理（使用软件Panabit）

前段时间，思科的一位朋友告诉我一个软件Panabit（http://www.panabit.com/），听说这个软件有上网行为管理的功能，可以从网络应用层管理现有的大多数软件，保证有限的网络带宽资源得到合理的利用和分配。

 

1、安装和部署Panabit：

（1）Panabit流控部署位置：

 

（2）Panabit硬件配置

        Panabit流控系统定位于网络设备级专用OS，需要安装在一台独立硬件中，硬件配置要求P3 800Mhz或以上、256M内存或以上、3块网卡，256MB以上电子盘或硬盘均可，光驱(安装软件用，安装完毕可以取下)。推荐网卡：Intel 系列网卡，最好使用如下图所示的网卡。

（3）一键安装Panabit

  Panabit一键安装(当前ISO启动光盘中Panabit版本为V10.12，安装之后到论坛“版本及特征库下载”版面查看是否有最新版本或  特征库，如果有通过Web界面升级更新到最新版本或特征库)

下载地址：http://www.panabit.com/download/Panabit_20101210_fb8x.iso， 下载后，刻成光盘，使用光盘启动，启动之后输入root用户名，口令root，即FreeBSD提示界面，输入：
Panabit8#./setup回车 (大约1分钟左右，时间视硬盘大小格式化时间，安装过程首先是自动查找盘，显示查到的磁盘设备名，本机使用建议选择安装在第一个盘，盘可以是硬盘、CF卡、U盘等(盘容量要大于256M，建议512M以上。其中主要过程是运行自动分区、格式化文件系统、安装精简FreeBSD 8.0、安装Panabit。)

以下是运行交互提示：
Welcome to Panabit system automatically install shell!
The installation will delete all data on your hard disk and can not be restored!!
Please confirm whether or not to continue the installation!
Do you want to continue(y/n[n])? 输入y回车，否则退出。
Following disks are detected: da0 ad1 显示系统中检测到的盘。
Please select one [da0]: 回车安装缺省安装在第一个盘。
We begin to format the disk "da0" and begin to install FreeBSD 8.0!
Do you want to continue(y/n[y])? 回车继续。
cylinders=17753
heads=15
sectors/track=63
以上三行显示磁盘的CHS参数。
Formatting the disk and copy files, please wait a moment!大约等1-2分钟。
FreeBSD 8.0 Install OK!
这期间主要格式化文件系统，复制光盘上FreeBSD精简系统文件和配置。
Welcome installing panabit!

****** Congratulations ******!
You have successfully installed Panabit on your system!

Following interfaces are installed in your system:
em0 em1 em2
显示系统所有网卡，须选择一个做管理口的网卡，剩余的默认都作为数据接口。(注：可以在Live CD启动之后，使用FreeBSD命令ifconfig查看网卡，如果插上网线，显示网卡状态为Active，通过此方法确认物理接口对应关系。)
Please choose one of above as your admin interface: em2(仅示例，根据实际情况选择网卡名称)
Please input ip address of admin interface: 192.168.0.8
Please input network mask of admin interface: 255.255.255.0
Please input default gateway: 192.168.0.1
输入管理口网卡名称、IP地址、掩码、网关，则安装完毕！如果输入错误，等脚本运行完毕，重新做一遍！
再次显示：
Your interface configurations are:
Admin interface : em2
Admin ip address : 192.168.0.8
Admin netmask : 255.255.255.0
Default gateway : 192.168.0.1
Data interfaces : em0 em1

Thank you for using panabit!
Eject CDROM!
Reboot system then the system automaticly start panabit at system startup!
If you want to stop the currently running panabit, you can issue
"/usr/panabit/bin/ipectrl stop" to stop it!
You can issue "/usr/panabit/bin/ipectrl start" to start panabit!
Panabit#
取出光盘，重启机器，即可https登录管理界面https://192.168.0.8，Web管理用户名admin，口令panabit。
进入Web管理界面，第一件事选择“网络配置”-->“数据接口”配置网桥，如选择网桥1，将一个网卡定义为接内网，将另一个网卡定义为接外网，分别点击提交即可，配置网桥2、网桥3、网桥4重复同样步骤，如下图：

 

Panabit最多可以支持4路网桥，网桥配置完毕，测试网桥连通性，如果正常连通，即可上线实际使用。刚开始上线，主要观察网络流量分析，不必急于配置策略，根据流量分析的结果，制定下一步的流量调控策略。

        到此为止，Panabit流控系统搭建完成，接下来参考管理配置手册，定义数据通道、配置策略组、进行策略组时间调度等，即可正常使用Panabit专业流控。
（4）连接好Panabit，管理接口连接到交换机的任一端口上，数据接口分别连接内网和外网。

2、观察Panabit的监测结果，在“监控统计”选项卡中可以查看系统的流量统计数据、系统概述、当前策略和应用协议等数据。

（1）在“监控统计”----“流量概述”----“整个系统”中，可以查看最近10分钟和累计流量分布图和当前连接数分布图；

（2）在“监控统计”----“流量概述”----“网桥”中，可以查看当前每个网桥的流量分布图；

（3）在“监控统计”----“系统概述”中，可以查看当前的系统信息、在线用户、IP统计数据、在线用户数趋势等；

（4）在“监控统计”----“当前策略”中，可以查看当前生效的流量控制、连接控制和HTTP管控策略。

（5）在“监控统计”----“网络接口”中，可以查看当前网络接口的基本信息；

（6）在“监控统计”----“应用协议”中，可以看到系统所有应用协议的

3、根据Panabit的监测结果，制定合理的流控方案；

（1）Panabit流控管理，策略配置是基于对象、选项参数、动作组成具体的策略。
  通过管理“应用协议”对象下的所有子对象来控制局域网用户对网络的访问，比如“HTTP协议”、“P2P协议”等。通过管理“HTTP对象”--“文件类型”和“域名群组”管理用户对文件类型和域名的访问，可以拒绝用户访问某些文件或某些域名，默认是允许用户访问所有文件类型和所有域名的。“其他类型”中的“IP群组”可以定义不同类型的IP列表，稍后在“策略管理”--“流量控制”、“连接控制”、“HTTP管控”中，可以定义针对某个“IP群组”有效或者对所有IP有效的策略。当然，我们还可以根据实际情况，在“其他对象”--“自定义协议（组）”中定义需要的协议或者协议组。如果你对面向对象的编程思想有一定的了解，你应该很容易理解基于对象的思想。

（2）策略管理是Panabit实现应用协议流量管理的策略管理控制中心，首先是系统相关的参数配置，其次是“流量控制、连接控制、HTTP管控”三种策略。注：三种策略为并列关系，策略组名字相同或策略序号相同均互不影响。

 A、在“参数配置”中可以对系统相关的参数进行设置，例如网桥带宽、内网IP统计、伪IP保护、TOS设置等。当管理员需要使用带宽预留功能的时候，需要在此设置网桥的上行和下行带宽；内网IP统计功能开启后，系统记录并统计当前在线IP的流量信息；

B、Panabit 的流量控制，分为三个步骤完成：1、定义数据通道(分配带宽数值)； 2、编辑策略组(具体的策略集合)；3、定义策略调度表(策略何时生效)；

关于带宽限制、带宽预留、带宽保证的理解：
带宽限制——最大那么多。“上限”的意思，不许超过。
带宽预留——总是那么多。“恒定”的意思，用不用、够不够都是那么多。
带宽保证——至少那么多。“至少”的意思，如果不够，还可以从其他带宽中挤占，直至够用。

C、Panabit连接控制，顾名思义即针对内网IP的并发连接数限制。Panabit的连接数限制，可以在一条策略中同时做到：a、对内网IP的TCP/UDP/总连接数限制； b、内网全部或个体IP对外网某一个特定IP、IP群组的连接数控制；c、基于应用协议的连接数控制。下图示例为：针对迅雷协议，内网所有IP的并发连接数控制策略。

D、PanabitHTTP管控，可以限制用户对某些网站的访问。

（3）系统维护主要是用来升级系统、系统特征库、系统管理（系统关机、重启、系统密码维护）、配置管理（配置导入到处）、日志管理等。

4、其他注意事项和遇到的问题：

补充：http分块传输协议、伪IE下载、eDonkey等协议中可能包含”其他HTTP上传“应用，因为刚才保存博客文章的时候，开始无法保存，查看日志，才知道是”其他HTTP上传“如下图所示：（去掉以上这几个协议后，”其他HTTP上传“才没有被再次拒绝）

‍

#网络管理