零投入用panabit享受万元流控设备

1、零投入用panabit享受万元流控设备安装我们只需要一台In tel x86平台，配置 P3 800Mhz以上、256M内存以上、3块网卡，128 M以上电子盘或 硬盘均 可的设备即可。在该设备上安装FreeBSD 6.2或以上版本的操作系统，这样我们就能够部署一个具备 安全的中文 Web 管理界面，可在网络的任何位置灵活方便的进行配置管理；配置简单，界面简洁，轻松上手；全功能 Web管理与监控的panabit流量控制硬件设备了。二、Panabit的安装方式和架设拓扑结构在网络拓扑结构上我们的panabit使用的是桥接结构，说白了就是通过他将内外网桥接到一起，并且利用桥接实现对所有通讯数据包的

2、监控与管理。在网络拓扑连接结构上我们可以把安装了panabit流量管控软件的计算机放置到内网与外网之间。（如图1）Panabit Inside图1panabit设备需要有三个网卡， 一个接内网（可以是内网交换机的总出口 ），另外一个接口连接 路由器（原来连接 内网交换机总出口的内网接口 ）;第三个则是连接管理机，这个管理机可以是单独主机也可以经过配制一个内网 IP 地址从而可以顺利在内网通过 IP直接管理。panabit的安装方式主要分两种，一种是全新安装需要我们先安装freebsd操作系统，然后再安装panabit;另外一种我们只需要使用panabit livecd光盘或U盘启动即可直接进入

3、到panabit管理中，所有配置都读写到内存中，一切使用和头一种方式一样，功能上也没有太大的差异。不过需要提醒一点的是采用后面一种方式部署panabit时虽然操作上很简单容易上手，但是一旦panabit设备重新启动或断电，所有配置都将清零；需要我们重新初始化并进行相关参数的配置。不过只要我们设置熟练并将之前的各个设置导出成配置文件就可以在三分钟之内让 panabit恢复原来的状态顺利上线。对于初学者来说笔者建议各位首先采用LIVECD这种不需要安装操作系统的方式来部署panabit，操作很简单而且在功能与性能上与全新安装没有任何区别。下面笔者也将为各位介绍如何通过livecd的方式启动并配置p

4、anabit ，让我们合理规划内网流量。三、步步为营部署 pa nabit下面笔者就为各位介绍通过 livecd版本的panabit来部署企业内网流控设备，首先还是找到一台配置在PIII以上的计算机，要求拥有三块网卡，然后访问下载panabit最新版本的livecd，将镜像文件下载后刻成光盘。整个镜像文件非常小只有10几M（1）设备选择与livecd 驱动：选择一台配置合适的设备用于安装panabit对于日后维护和系统运行效率非常重要，本文主要介绍将livecd程序刻录成光盘进行引导的方法。如果读者对用U盘引导感兴趣可以自行在网上搜索相关操作方法。第一步：Livecd版本的panabit可以控

5、制和管理内网节的点数在 256个以内，基本上一个C类网都可以应付了。 安装panabit的计算机配置要求并不高只需要 PIII级别以上即可。笔者选择的是老式联想PIII主机，三块网卡，内存是512M （如图2）图2第二步：要求安装 panabit的计算机拥有三块网卡，如果不够可以通过PCI接口添加。一个接内网，一个接外网，一个接管理端。（如图3）图3第三步：接下来我们启动计算机并用pan abit livecd光盘启动引导，之后我们可以看到实际上该光盘是集成了 freebsd操作系统的，启动过程会扫描当前设备的硬件情况。（如图4）tor SI 诚 iriilJIlfc/MktniJJI K F

6、tl 獣抽亦匕伽 |*r 吨 W I NT 11 M KJ Mk t*it UUtn； Ctack ra-itf如灯耳ht Im* fnn *WI Cl Ml : 口 T.r LIiht bttl Im4t trfunti LwUtl zlOOVUMCl . Fh11 to4flrHI Ivdir 趴 n( wln 1 i.tl Cmalm iRltm) yidz细现科 iiu a u mU irhv r It tHirn lrh t- Il iMl1(K mr*S22t?UI twdOI* iryISSXSIXK:盅常詁 A第四步：引导完毕出现login提示符，我们输入用户名为root即可，

7、密码不需要输入。（如图5）ww Il ilhi juii nes ueenjn ek/ssYour public key has been saved in /etc/s$h/ss The key fingerprint 1$: 95:：63：5c：96：4d：19：Bc?ab;b?：b2：?c：i Starting sshd.Local package initialization：.Starting background file system checks in 68 sTue fipr 14 Z0：57;3B UTC 2胡gFreeBSD/(386 (hnalit) (ttyv0)lo

8、gin： |第五步：登录成功顺利进入panabit#提示符，这里是panabit的管理控制端，现在还不是图形化界面的，需要我们对基本接口和服务进行设置才可以通过管理端地址访问图形化管理界面。（如图6）FrtwlSI (. J - UL&m I If 3 T*Wlcew lttcHiul uffori. fit4iv9 Stctrltfl 44whtrhT !Muf rri 41frnlSI MT|nlMWltw ywr rvlwsv llrsl s MFa Ue g iJKwvBti r i皐hf Hkih tte uihfef inn.MlltfF|iHrlb/- It 啊bm JtMlil

9、Eftd,ihn avilJdkJiIf f vtll I hm vitiiiN ar jinblM, Mne -i Icp*| hIiU a r|Miit ariraj % t*4 电BuHihMMhrMHlSLarw!Taa|thr HitldiraM呻MM*I pi|Ms If v rt fwllltr仙 uy 4lw VW tviAnUlHII It /-* CMfltferitJwtiJtt#PvwiiHv I图6完成引导后我们就要对pan abit 些参数进行设置，让图形化WEE界面能够顺利启动，让用户可以利用图形化管理界面对内网流量进行调控。（2）接口的配置与管理：正如上文所说我

10、们选择的要安装panabit的设备拥有三块网卡，每块网卡的功能是不同的，各有各的标识。下面我们就来了解下相关接口的配置与管理。首先我们了解各个接口对应的名称标识，在panabit#提示符下输入ifconfig来查询，之后可以看到对应的三块网卡，每台计算机网卡名称都不同，例如笔者的是rl0,fxp0,rl1这三块。我们可以通过status下的状态了解他们的连接情况，no carrier是没有插网线，carry则是已经连接了网线。这样我们就可以通过插拔网线的方法了解 到各个网络接口对应的名称标识。同时我们可以约定好各个接口的功能。例如笔者就选择fxp0作为管理接口，而rIO连接内网，rl1连接外网

11、。（如图7）TtHt n叫 4 L .aI |(Q I rilLRonifris fl8ftZBWAICRSLSWlX oft ios bman Nru erhffr匸聊2:祁 i Ethernet dttWxel就t sut: k cdrrkropt lent thflr n：10：Sc*c：c3 Mill: flhernet aulasdlKt sUUf ： m carrier rll： f ItHit： Etlrnetm earrlsrlofl：LDOFinCK.MMIKIwt 12?. 1.9 1 MtMik Ml Nitblta |.ffffss接下来我们通过ifconfig fxp

12、0 3 为fxp0接口配置一个IP地址和子网掩码，需要提醒的是我们配置panabit时只需要给管理接口设置IP地址即可，对于内网接口和外网接口是不需要分配 IP的,因为panabit通过网桥模式工作。（如图8）st Atus ? no carrier fxpB： f liijs=880ZBROADCA3I. SlUPLEX,HULTCAST) ntu opt ion=8ether QO：10：5c;ac：c385*edifi： Ethernet autoselect (none) statust no carrierrll： flaffs-9fl

13、02 ittu 1!options-8ether SB:0a:eb:f9:4:67 Media： Ethernet attoselect statust no carrier： flags=8849UPtLOOPBACK. RUNNIHG.NILT1CASDiRflt netMsk 8xff600800 ifconfig fxpB 19Z. 166.LZ3Panabit* |图8最后我们用一台普通计算机连接安装panabit设备的管理接口 （fxpO对应的网络接口），然后在普通计算机上设置IP地址和子网掩码为 29 ，这里只需

14、要与 fxp0接口属于同一个网段即可，网关地址可以不用输入。（如图9）（如图10）用网线连接普通计算机与panabit设备的管理接口，如果设置得当会看到网卡工作状态是正常的。图10图#图#在普通计算机上 ping管理接口的IP地址3 应该是畅通无阻的。（如图11）ihrrtr打世it搅 2：Cofttc* lUili * Bf mu Lt聲 卓iMfinf lT3.1ta.l. with h/材 *f：iplr frwriL-tim.lU.l.nihytTTL-MFwhytn (ImCIm TTLi fwm.u,t.nahrtntil-m图11同时在panabit管理控制

15、台可以看到fxp0接口状态提示为link state changed to up 。（如图12）Bediat Ethernet autoselectstatus： no carrierlo: fhgs=8849UP,L0flPBftCKlRUNNING.HULriCluet 127,8*8.1 netaask 8xff800000Panabitt Ifconfig fxpfl 192.168.1.Z3Pnabit* fxpBi link state ckawged to UP图12（3）修改配置文件指定数据端口与管理端口：仅仅针对数据端口进行设置还不算完，我们还需要编辑配置文件指定数据端口和管

16、理端口，具体步骤如下。PG是第一步：在panabit管理控制台下输入 vi /etc/PG.conf ，这里需要注意一点的是大小写一定要区分好, 大写其他是小写。（如图13）第二步：在VI编辑状态下修改 PG.conf配置文件的第五行和第六行，其中admin_port后是管理接口，我们可以修改为实际使用的fxpO，第六行是数据接口data_port，设置为rl1 rl0。然后保存退出即可。（如图14）pgpat h=/usr/anAb it upddteinterndl=366 datdpach-/usr/panaloj pgetc=/usr/pinaetcdata_pDrt=rIt rlfl

17、图14小提示：VI下编辑操作比较复杂，首先进入的是可删除不可输入界面，我们需要输入i进入编辑模式，当输入修改完毕后再按esc退出编辑模式，然后通过：wq来保存退出，如果输入错误可以通过：q!直接退出而不保存。第三步：编辑完毕 PG.conf并指定数据接口和管理接口后我们还需要启动panabit服务，具体指令为/usr/panabit/bin/ipectrl start。（ipcetrl stop 是停止该服务）（如图 15）tl “数据接口”下针对rlO,rl1的应用模式与接入位置进行指定。（如图20）要让其正常工作首先需要指定各个接口应用模式为网桥1，当然我们的panabit支持多个网桥协同

18、工作，不过一般来说只需要使用网桥1即可，同时指派接入位置连接的是内网还是外网，设置完毕点右边的“提交”按钮。（如图21）图21Of- 一十：+ -Ji审由N-s wt隔一段时间后我们将可以看到内网流量中的各个协议各个服务占用内网外网设置正确并且连接没有问题的话,1-rUA*aiM * I =9d图22H Bt* -M a-fl-rt, r（6）参数配置的导入与导出：正如上文所介绍的我们采取的是LIVECD法安装Panabit，这种方式存在一个问题那就是每当设备断电或重新启动后所有配置都清零，我们需要重新进行上面几步操作。实际上我们可以利用panabit的配置导出与导入功能达到快速初始化的目的。

19、这样即使重新启动设备所有配置清零后也能够在三分钟内完成panabit的正式上线与管控功能。在panabit图形化管理界面下选择系统维护”- 配置导出”，我们在导出设置处点 鼠标右键选择另存为”即可保存到本地硬盘，默认的配置文件是curren t.co nf ，当然我们可以用记事本将其打开查看里面的内容。（如图23）* hM. bMnTi l _nwMpM:Vrdni4$ pm*U Wi“IlCJUflfeAjMHMt- uvfi 斗I AtaM _為 Ml 图23导入配置时也很简单选择“系统维护”- “配置导入”，然后指定之前导出的current.conf文件并上传即可，上传配置后记得一定要点

20、“导入配置让其生效” 按钮，否则光上传配置文件并不能够恢复之前的各个参数信息。（如图24）配置图24、panabit的网络定位”在流量管理控制操作之前我们首先需要明确安装了pan abit的设备应该在网络结构中所处的位置，在部署时panabit桥接到路由Panabit在企业交换机上联接口与 路由器内网接口之间，这样企业内部所有上网流量都将通过 器并转发到互联网in ternet中。二、panabit对流量的统计与查看“累计流量分布图”以哪个网络服务当我们部署panabit完毕后可以通过 WEE管理界面看到“最近 10分钟流量分布图”， 及“当前连接分布图”等图表，通过这些图表我们可以清晰的了解

21、到当前企业内网的网络应用类型， 占据主体一目了然。另外通过“监控统计”- “流量概况”- “整个系统”选项我们还可以查询各个协议组对应的连接情况，具体到哪个客户端占据该协议通讯的前几名，该客户端还应用了哪些网络服务等信息都可以通过点击协 议组名称的方式详细查询。X Pannbrt rwaMHWil如图2三、应用协议的设置我们在“对象管理”- “应用协议”下会看到 panabit默认为我们提供的多种协议，包括HTTP协议，常用协议等，这里囊括了各种 WEB视频，迅雷下载，FLASH浏览，HTTP代理，电子邮件，文件传输，软件终端，WW访问,股票软件等等上百种常见协议，凡是这里出现的协议我们都可以

22、通过panabit的策略管理对其进行限速，限流，阻止通讯，容许访问等操作。如图3四、系统参数的设置除了上文中提到过的针对“网络配置”- “数据接口”进行配置，指定内网，外网接口以及桥接类别外，我们还需要在首次登录 panabit后通过“系统维护”- “系统管理”针对 panabit的时间和访问密码进行修改，针对时 间的修改是非常重要的，因为很多策略管理都是基于时间段来完成的，如果Panabit自身时间就是错误的那么再怎么限制流量也都是有问题的。在“系统管理”- “系统时间”下针对 panabit的时间做设置，同时在右上角我们可以看到该panabit启动的时间系统已连续运行X天X小时X分XX秒。

23、X PaflabrtVfl Cl Ijfl SI !JJ Budk-ID-k=H-Vt -nrrtJ如图4在“系统维护”- “系统管理”- “密码修改”处是针对panabit图形化界面登录密码进行修改，输入的密码不能包含空格，通过修改密码可以大大提高Panabit自身的安全，毕竟默认用户名和密码是众人皆知的秘密。点“提交按钮”后新配置生效。卒P邮曲止i “ K=S tidra鼻 *uiBy 4UMUS車Hi HEm WEMLZ * :山 如图5五、群组与协议组的规划我们可以利用Panabit的群组功能针对企业内网不同 IP地址分配不同的访问权限，例如容许办公室计算机访 问土豆网，但是禁止机房计

24、算机访问该网站，这些操作都是针对IP群组进行分配的。我们可以通过“对象管理”- “其他对象” - “IP群组”对内网IP地址段进行划分，从而实现分段管理分段控制的目的。如图6点“创建群组”按钮后输入一个名称，然后填写“起始地址”与“结束地址”即可。如图7当然Panabit还支持自定义协议组，通过自定义协议组的功能我们可以将多个协议放到一起，从而为日后的统 一管理提供方便，例如建立“迅雷协议组”，然后将BT下载，电驴传输，脱兔，迅雷等多个协议到进来，这样日后要封锁类似P2P下载时只需要添加一个“迅雷协议组”即可。*此竹世电円硼枫KFTF却msiTf.snrsjrrWt*LSK-忤Hucr mrE

25、KT tzir rm e rrr irrr M :r wrnvf如图8六、有效设置上下行带宽每个企业网络的带宽都是不同的，当我们对流量做限制和管理时一般都是按照带宽的百分比或者直接输入传输速度来决定的，如果按照带宽百分比进行配置的话就一定要对企业网络的上下行带宽做设置，具体操作在“策略管 理”- “参数配置”- “网桥带宽”处，我们选择“网桥”然后设置上行带宽与下行带宽即可，一切都根据企业实 际情况填写，填 0时将自动关闭上下行带宽预刘与保证功能。 r-w r- 1.C 直趨 iL jS 1!X Panafcrt MhhViW JiHiPH I*UHI LM Btn *h T珂：-Br如图9另

26、外为了更好的针对内网各个IP地址的流量进行统计，我们可以打开内网IP统计功能，在“策略管理”- “参 数配置”- “内网IP统计”处选择“打开”内网IP流量统计功能并设置最大空闲时间。X Panaton如图10七、服务管理限制功略最后我们进入到panabit的核心！以上种种操作都是为这个核心设置所服务的，通过本环节我们将实现对内网 流量的高效管理。在服务管理限制环节我们一般分为三个步骤。(1) 数据通道的添加：第一个步骤是针对数据通道进行添加，所谓数据通道就是指针对带宽的管理。包括带宽限制，带宽预留以及带 宽保证。带宽限制就是指该服务的流量不可能超过设置值，带宽预留是指该服务的流量至少要到达这

27、个值，带宽保 证也是达到这个最低保证速度值的效果。输入带宽时的单位是Kbit/s。如图11数据通道的设置主要是针对某服务做限流限速来添加的，如果我们希望在数据包操作时只保留丢弃阻止和容许通过两种情况，那么完全可以跳过数据通道添加设置环节直接进入下一个步骤。(2) 策略组的添加：所有针对服务和网络应用的限制都是通过添加策略组完成，我们在“策略管理”- “流量控制”- “策略组”中点“添加”按钮后建立一个策略组，然后点“添加策略”按钮为该策略组增加过滤条目。依次输入策略标识(起到策略排序的作用)，选择应用策略组的内网地址和外网地址，这里可以设置任意地址也可以手工输入具体IP地址段，如果提前建立了

28、IP群组的话也可以通过下拉菜单选择已经建立的IP群组。. * - wi E如图12J WAwhJ|* * ar. 4ftla.接下来是针对策略组的应用协议进行配置，点“选择协议”按钮后会弹出一个设置窗口，在这里我们手工选择 协议组或单个网络协议即可，例如我们要针对“土豆网”这些协议进行限制的话只需要选择对应选项即可。PamabflJuM” +_ LAV如图13之后在动作/通道处通过下拉菜单选择是容许，阻断还是限制到某个速度，之前建立的数据通道将直接限制在 此下拉菜单中。下面我们假设要禁止对土豆网的访问，那么直接设置为“阻止”即可。 r，押 ti eni i UfllI “流量控制”- “策略调度”中的添加策略调度来设置一个时间段。例如要求每周一到周日 零点到24点应用，那么只需要建立时段编号并在策略组下拉菜单选择第二步建立的策略组，这样在该时间段就会 自动应用之前建立的“流量控制”策略组对内网流量进行优化。如图15添加完毕后我们在策略调度界面可以看到时段列表条目的存在，当然如果我们想所有时间段都应用同一个策略的话，我们还可以通过缺省策略组功能来实现，在上方缺省策略组下拉菜单中选择适当的策略组，然后点右边的“修改缺省策略”按钮即