Panabit技术讲解_从头开始了解Panabit_第1页
Panabit技术讲解_从头开始了解Panabit_第2页
Panabit技术讲解_从头开始了解Panabit_第3页
Panabit技术讲解_从头开始了解Panabit_第4页
Panabit技术讲解_从头开始了解Panabit_第5页
已阅读5页,还剩67页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Copyright 2013 Panabit and/or its affiliates. All rights reserved.网关的终极未来北京派网软件有限公司Copyright 2013 Panabit and/or its affiliates. All rights reserved.网络的四个部分Page 2接入管理优化审计Copyright 2013 Panabit and/or its affiliates. All rights reserved.Panabit的功能Page 3n 从部署模式来看-网桥部署-网关部署-旁路部署Copyright 2013 Panabit a

2、nd/or its affiliates. All rights reserved.Panabit的功能Page 4n 从功能上来看-应用识别(核心)-路由(静态路由,NAT,NAT后路由,应用路由,DNS管控,缓存牵引,PPPOE服务器)-流量控制(动态限速,优先级,带宽保证)-上网行为管理(wifi共享控制,移动终端控制,http管控)-日志分析Copyright 2013 Panabit and/or its affiliates. All rights reserved.Panabit的功能Page 5n 从应用场景来看-企业行为管理(封wifi、视频、购物、游戏,web认证)-网吧出

3、口(优先级,动态限速,负载均衡,应用分流)-校园网出口(优先级,带宽保证,策略路由,应用分流)-小区网出口(PPPOE服务,认证计费,缓存牵引,负载均衡,应用分流,日志审计)-运营商出口优化(高性能NAT,流量控制,DNS管控,游戏加速、应用分流,日志分析)-大数据分析Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 6网桥部署- Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 7网桥部署的设置将两个数据口设置

4、为一组网桥,每组网桥对应的两个接口是唯一的,一个接内网,一个接外网。“接内网”的端口接交换机,“接外网”的端口接路由器。Copyright 2013 Panabit and/or its affiliates. All rights reserved.错误(一)每组网桥由两个数据网卡组成,并且它们的网桥名称也相同。每组网桥由两个数据网卡组成,并且它们的网桥名称也相同。Copyright 2013 Panabit and/or its affiliates. All rights reserved.错误的设置(二)网桥只能是一进一出!网桥只能是一进一出!不能一进两出,也不能两进一出,并且相同的网

5、桥名称不能超过两个不能一进两出,也不能两进一出,并且相同的网桥名称不能超过两个Copyright 2013 Panabit and/or its affiliates. All rights reserved.错误设置(三)错误:在有链路汇聚环境的时候,认为网桥也能够这样汇聚起来。Copyright 2013 Panabit and/or its affiliates. All rights reserved.在有汇聚的情况下,网桥应该这样设置在有汇聚的情况下,网桥应该这样设置Copyright 2013 Panabit and/or its affiliates. All rights re

6、served.测试网桥是否通Copyright 2013 Panabit and/or its affiliates. All rights reserved.360WIFI控制1禁止私接wifi手机共享2禁止私接路由给PC共享Copyright 2013 Panabit and/or its affiliates. All rights reserved.创建策略组Copyright 2013 Panabit and/or its affiliates. All rights reserved.场景(一)在没有wifi覆盖的网络。阻断接入的手机Copyright 2013 Panabit a

7、nd/or its affiliates. All rights reserved.在策略组里添加策略Copyright 2013 Panabit and/or its affiliates. All rights reserved.序号:100常用条件:全“任意”用户特征:移动设备数不小于“1”执行动作:“阻断”Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略做好以后,要调度策略组Copyright 2013 Panabit and/or its affiliates. All rights reserv

8、ed.1,缺省策略组:默认使用的策略组;2,策略调度表:可以根据时间,在线人数等条件进行策略调度;当满足调度表条件时,优先使用调度表匹配条件的策略。3,在任一时刻,最多只会有一个策略组被调度在任一时刻,最多只会有一个策略组被调度Copyright 2013 Panabit and/or its affiliates. All rights reserved.当前匹配的调度表项,会以蓝色大字显示。Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略调度成功后,在监控统计-当前策略-流量控制里,会显示当前调度的策略

9、组。Copyright 2013 Panabit and/or its affiliates. All rights reserved.场景(二)有WIFI覆盖禁止私接WIFICopyright 2013 Panabit and/or its affiliates. All rights reserved.首先区分,哪些是公共WIFI,哪些是私接WIFI。Copyright 2013 Panabit and/or its affiliates. All rights reserved.先将公用WIFI的IP放行Copyright 2013 Panabit and/or its affiliat

10、es. All rights reserved.Copyright 2013 Panabit and/or its affiliates. All rights reserved.共享检测技术Page 26n 共享检测技术简述- DPI应用检测- 通用数据包检测(IPID轨迹)-移动终端检测Copyright 2013 Panabit and/or its affiliates. All rights reserved.DPI应用检测方式Page 27n 原理- 某些应用程序在进行数据交互的时候,一些数据包中会带有本地网卡的IP信息,Panabit的DPI引擎能获取到这些IP地址的信息,以此为

11、依据判断有共享用户。n 特点 - 能知道具体共享的内网IP地址,检测准确。 - 这个检测是在DPI识别顺带的,性能上的消耗可以忽略。 - 这只是某些应用程序的特性,比如迅雷、暴风等P2P类软件。Copyright 2013 Panabit and/or its affiliates. All rights reserved.通用数据包检测Page 28n 原理-过记录数据包的IPID,绘出IPID的轨迹,以此为依据判断有共享用户。n 特点 - 只检测WINXP和WIN7系统。 - 客户机上网就能检测到,无需特别应用。 - 这样的检测十分灵敏,一台客户机也可能产生多条轨迹。 - 开启通用数据包检

12、测,会消耗一定的系统资源,因此这种方式最多检测6个共享。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 29通用数据包检测(IPID轨迹)- 标识(identification):数据报的标识,用来标识出数据长度超过MTU分片时,进行重新组装数据的位置标识。这部分通常用来分析共享上网的特征。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 30IPID轨迹检测当启用“通用数据包检测”时,Panabit会根据时间

13、和数据包的IPID绘图,在每一台内网机器作地址转换时,IPID的序号是没变化的,而每台机器又是随机从一个数开始,有规律单调增加,如果某一IP下共享了多台客户机,由于每台客户机IPID的起始值不同,那么在一段时间内,绘图就会发现多条轨迹,那么Panabit就会认为有多个共享用户。每条轨迹代表一个共享用户。 Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 31IPID轨迹检测配置参数floweye ipidtracker stat 查看当前配置ipid_enable=1 1开启,0关闭ipid_learn

14、max=64 判断IPID连续包的轨迹ipid_maxskip=8 单机数据包最大缺失个数,大于不属于1个IPipid_minskip=6 数据包缺失个数,小于属于1个IPipid_ttl=50 轨迹老化时间修改配置举例floweye ipidtracker config ipid_ttl=10 把轨迹的老化时间设置为10秒Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 32移动终端检测n原理 - 根据数据包里包含的一些特殊字段,来判断数据包是来自移动设备n特点 - 识别准确Copyright 201

15、3 Panabit and/or its affiliates. All rights reserved.Page 33移动终端数据包数据包里包含的操作系统和硬件型号信息Copyright 2013 Panabit and/or its affiliates. All rights reserved.共享检测的设置移动终端的老化时间调整命令:floweye dpi config mob_ttl=XXXXXX为老化的时间,单位是秒Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 预期效果:不允许

16、使用路由器,阻断所有的共享。关闭通用数据包检测Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 预期效果:允许使用路由器,但是PC和移动设备不能同时使用。关闭通用数据包检测Copyright 2013 Panabit and/or its affiliates. All rights reserved.常用的共享控制策略 预期效果:允许使用路由器,PC控制在1-2以内。开启通用数据包检测Copyright 2013 Panabit and/or its affiliates. All righ

17、ts reserved.Page 38旁路监控部署Copyright 2013 Panabit and/or its affiliates. All rights reserved.应用场景 内网流量监控 运营商出口优化(结合panalog) 大数据分析(结合panalog)Copyright 2013 Panabit and/or its affiliates. All rights reserved.设置1-上行与下行分别镜像到两个数据接口1)设置Panabit的数据接口的工作模式为“监控模式”;2)将Panait的数据接口与交换机互联;3)设置交换机与路由lan口连接的端口为“被镜像端口

18、”;4)设置“被镜像端口”的上行数据,镜像到交换机与Panabit“接内网”互联的端口上;5)设置“被镜像端口”的下行数据,镜像到交换机与Panabit“接外网”互联的端口上;Copyright 2013 Panabit and/or its affiliates. All rights reserved.设置2-上行与下行都镜像到一个数据接口1)设置Panabit的数据接口的工作模式为“监控模式”;2)将Panait的一个数据接口与交换机互联,并且设置为“接内网”;3)设置交换机与路由lan口连接的端口为“被镜像端口”;4)设置“被镜像端口”的上行和下行数据,镜像到交换机与Panabit“接

19、内网”互联的端口上;5)开启伪IP防护,并且填入内网IP段Copyright 2013 Panabit and/or its affiliates. All rights reserved.单个“数据接口”接收上行和下行流量时,打开“伪IP防护”功能,将内网IP地址段填进去。“伪IP防护”功能打开后,实际上就告诉了Panabit,哪些IP是内网的。源地址为内网IP的流量就是上行流量;源地址为外网IP的就是下行流量。Copyright 2013 Panabit and/or its affiliates. All rights reserved.Page 43网关部署 Copyright 201

20、3 Panabit and/or its affiliates. All rights reserved.路由的概念路由:是路由器指从一个接口上收到数据包,转发到另一个接口的过程。我们常常会把NAT当做路由。NAT指的是地址转换,它是一种把内部私有网络地址(IP地址)转换成合法网络IP地址的技术。在NAT动作之后,转发到下一跳(下个路由器),这个过程才是路由。Copyright 2013 Panabit and/or its affiliates. All rights reserved.第一步确定“数据接口”的“角色”网关部署的设置网关部署的设置“接内网”可用于“LAN接口”和“PPPOE服

21、务器”“接外网”可以用于“WAN线路”和“PPPOE旁路”Copyright 2013 Panabit and/or its affiliates. All rights reserved.第二步,设置接口线路Copyright 2013 Panabit and/or its affiliates. All rights reserved.设置WAN线路时的注意事项。接口名称:尽量不用特殊符号。心跳服务器IP:wan线路会自动ping这个心跳IP,来判断这条wan线路和外网是否是通的。如果ping不通,则认为这条线路是不可用的。启用防封杀:如果启用由这条wan线路出去的数据包的IPID会是连续

22、的。IP地址与网关地址:这里我们不需要填掩码,只要IP与网关地址二层上能互通即可。DNS服务器地址:做DNS管控的策略时才会用到。Copyright 2013 Panabit and/or its affiliates. All rights reserved.第三步,设置策略路由Copyright 2013 Panabit and/or its affiliates. All rights reserved.LAN到LAN的路由LAN到LAN的路由主要作用是实现两个不同网段之间的互访。Copyright 2013 Panabit and/or its affiliates. All righ

23、ts reserved.LAN到WAN的路由例如,将访问 /16这个目的网络,路由到WAN线路策略里与LAN到LAN的路由策略的区别就是,路由线路选择一条WAN线路。与NAT的区别就是,数据包的源地址没有改变,后面设备看到数据包的源地址不会是WAN线路的地址。Copyright 2013 Panabit and/or its affiliates. All rights reserved.NAT后路由NAT后选路就是,先进将源地址NAT成“NAT线路”的地址(NAT线路可以是一个线路群组),然后再从另一条wan线路路由出去。这个功能常用与运营商之间的私网互联和“光纤走上行A

24、D走下行”Copyright 2013 Panabit and/or its affiliates. All rights reserved.负载均衡WAN线路的负载均衡PPPOE接口的负载均衡Copyright 2013 Panabit and/or its affiliates. All rights reserved.WAN线路的负载均衡线路群组将就若干条线路组合在一起内置了8个线路组WAN线路可以放到不同的线路组中是基本连接的负载均衡,而不是数据包,这和传统骨干路由器上的负载均衡有显著的差别。Copyright 2013 Panabit and/or its affiliates. A

25、ll rights reserved.设置群组负载类型目前有四种方式:源地址、目的地址、源负载类型目前有四种方式:源地址、目的地址、源+ +目、地址目、地址+ +端口。端口。我们可以根据应用特点来选择负载类型,例如网银登陆,必须我们可以根据应用特点来选择负载类型,例如网银登陆,必须IPIP一致,那么我们可以选择源地址负载;一致,那么我们可以选择源地址负载;P2PP2P的应用连接多、流的应用连接多、流量大。那么就用地址量大。那么就用地址+ +端口负载。这样相对比较均衡。端口负载。这样相对比较均衡。相同的链路可以加到不同的群组。比如有相同的链路可以加到不同的群组。比如有1010条链路,条链路, 把

26、这把这1010条链路同时全部加入条链路同时全部加入A A群组和群组和B B群组,群组,A A群组以群组以“源地址源地址”的方式的方式负载,负载,B B群组以群组以“地址地址+ +端口端口”的方式负载。我们可以把网页走的方式负载。我们可以把网页走A A群组,群组,P2PP2P走走B B群组,这样群组,这样1010条线路即解决了网银条线路即解决了网银IPIP验证的问题验证的问题,也解决了均衡的问题,也解决了均衡的问题 Copyright 2013 Panabit and/or its affiliates. All rights reserved.添加线路+按钮,用来添加线路群组的成员,把需要负载

27、均衡的wan线路添加到群组里Copyright 2013 Panabit and/or its affiliates. All rights reserved.添加线路点+按钮后,会列出可以添加的WAN线路权重:负载连接的比例,可选1-10。这里以各个线路之间的带宽比例为参考,带宽越大权重越高Copyright 2013 Panabit and/or its affiliates. All rights reserved.策略路由在策略路由的策略中,目标线路调用相应的线路群组。Copyright 2013 Panabit and/or its affiliates. All rights re

28、served.PPPOE服务器的负载均衡多个物理接口对应多个PPPOE服务器,每个PPPOE服务器设置一个最大接入,当一个PPPOE服务器接入到上限后,就不会再接入用户,而其它没有达到上限的PPPOE服务器就会继续接入,从而现实各个网卡接入用户均衡。Copyright 2013 Panabit and/or its affiliates. All rights reserved.DNS管控DNS管控就是针对满足策略条件的DNS的数据包做下列的动作。条件路径(网桥)、VLAN、源接口(LAN接口)、源地址、DNS服务器(目的地址)、访问域名动作允许、丢弃、重定向、劫持Copyright 2013

29、 Panabit and/or its affiliates. All rights reserved.重定向重定向的目标是一条线路,作用是把请求域名解析的DNS服务器地址改变。Copyright 2013 Panabit and/or its affiliates. All rights reserved.重定向实现原理假设WAN线路IP是78,DNS服务器是0。重定向后,对数据包的源地址和目的地址都做了一次改变。本来去14解析域名,变成了到0上去解析。由于DNS服务器不同,解析的结果也肯定会不一样。Copyright 2013 Panabit and/or its affiliates. All rights reserved.劫持劫持就是将域名的解析结果,变成一个固定的IPCopyright 2013 Panabit and/or its affiliates. All rights reserved.劫持的效果演示解析,9是正常的结果劫持后,解析,得到的结果变成了1.

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论