2024年1月6日发(作者:)

流控的配置

配置管理

Panabit的配置管理主要包括:

1) 网络配置

2) 应用参数配置

3) 节点管理

4) 内网伪IP防护

5) 网桥带宽配置

6) 内网IP统计选项配置

3.1 网络配置(ifconfig,route,if set,em setspeed)

Panabit的网络配置方面比较简单,主要包括:

1) 管理口配置

2) 数据口配置

管理口由FreeBSD直接管理,所以它的配置是使用FreeBSD的ifconfig(配置接口)和route(配置路由)命令。

比如,将管理口fxp0的IP地址配置成192.168.1.100/24,使用下面命令即可做到:

#ifconfig fxp0 192.168.1.100/24

或者

#ifconfig fxp0 192.168.1.100 netmask 255.255.255.0

route命令用来增加或删除路由,比如下面的命令用来添加缺省网关为192.168.1.1:

#route add default 192.168.1.1

数据口主要使用floweye的if set命令,它的使用方法如下:

If set name=if-name [mode=n] [zone=inside|outside]

其中:

1) if-name为网卡名称,如em0, em1等等;

2) mode为网卡模式,0表示监控模式,1,2,3和4分别表示网桥1,网桥2,网桥3和网桥4;

3) zone表示网卡接入位置,inside表示接内网,outside表示接外网;

如果数据接口是Intel千M卡(比如82571/2/3/3/5/6芯片),那么可以使用em setspeed命令设置网卡的协商模式(如自动协商、强制1000M全双工等)。em setspeed命令使用方式为em setspeed if-name

speed,其中:

1) if-name为网卡名称,如em0, em1等;

2) speed为网卡协商速率设置,auto表示自动协商,1000LX表示单模强制全双工,1000SX表示多模强制全双工,1000T表示电口强制全双工;

需要注意的是,设置网卡协商模式命令发出后,Panaos会reset网卡,所以会出现短暂的断网,请尽量避免在有高流量的时候做设置。

3.2 应用参数配置(app set)

对于每个应用协议,目前有三个标准参数可供配置:

1) 连接老化时间,指连接没有通过流量时的最大生存时间,以秒为单位。

2) 节点老化时间,指节点没有新建连接时的最大生存时间,以秒为单位。

3) 是否缓存节点,指是否缓存节点,游戏协议一般会打开此选项。

app set命令格式为:

app set app-name [flowttl=nnn] [nodettl=nnn] [cachesn=yes|no]

其中,flowttl、nodettl和cachesn分别对应上述三个参数。

3.3 节点管理(node add, node remove)

节点在Panabit中是一个很重要的概念,它对性能的提升有着很重要的作用。所谓节点,实际上就是一个IP地址和端口的二元组,比如一个游戏服务器的IP地址和端口。Panabit所识别的很多应用协议都打开了节点缓存功能,在某些极端情况下,节点缓存会导致一些误识别,在出现这样的情况下,可以通过node add命令强制将误识别的节点修正或使用node remove强制将它删除。它们的使用方法如下:

node add ip-address port app-name type

node remove ip-address port

其中:

1) ip-address为节点的IP地址

2) port为节点的端口号

3) app-name为节点应用类型

4) type为节点的4层协议类型,如tcp表示TCP类型,udp表示UDP类型,both表示既是TCP,又是UDP

3.4 内网伪IP防护(ipverify addip, ipverify rmvip,ipverify clearip, ipverify enable, ipverify disable)

由于网络中病毒的问题,经常会出现一些恶意攻击包,其中有很多攻击包的源地址是伪造的,这些非正常的数据包会给Panabit带来一系列的问题:

1) 内网IP池很快被耗尽,导致正常的IP流量不能统计。

2) 连接池很快被耗尽,导致正常的连接信息不能记录,因而无法分析网络流量。

基于上述两个缘故,并且出于Panabit自身功能正常运转的目的,Panabit内置了一个内网伪IP防护模块。这个模块的工作原理如下:

1) 用户通过ipverify addip命令将内网合法的IP地址或IP段告诉Panabit

2) 当Panabit接收到一个IP包后,它先判断其源IP(如果是从内网卡进来的包)或目的IP(如果是从外网口进来的包)是否在合法IP表中,如果在,就进入正常的应用分析模块;如果不在,直接将此数据包当做“内网伪IP”应用,进入策略处理模块。

Panabit缺省情况下,对这种类型的数据包是做放行处理的,如果用户需要对此类数据包进行处理,就需要在策略组中添加相应的处理策略。

另外,在缺省情况下,内网伪IP防护模块是没有打开的,用户可以使用ipverify enable命令打开此模块,也可以使用ipverify disable功能关闭它。需要注意的是,如果打开此功能模块而没有将合法的内网IP地址或地址段告诉Panabit,那么正常的流量就会被Panabit标记成“内网伪IP”,从而影响设备的正常使用。

用户可以使用ipverify addip将合法内网IP地址添加到IP池进行操作,比如:

1) ipverify addip 192.168.1.1,将192.168.1.1添加到池中

2) ipverify addip 192.168.1.1-192.168.1.3,将192.168.1.1、192.168.1.2和192.168.1.3添加到池中

3) ipverify addip 192.168.1.0/24,将192.168.1.0/24整个C类网段添加到池中

同样的,也可以使用ipverify rmvip来删除池中的某个或某些IP地址,比如命令ipverify rmvip

192.168.1.1将192.168.1.1从池中删除。

如果想一次性清空池中的所有IP地址,可以使用ipverify clearip命令,这个命令没有任何参数。

3.5 网桥带宽配置(policy setgbw, policy getgbw)

我们经常碰到在某些特殊的环境下要对某种关键应用做带宽保证或预留。Panabit在实现带宽预留或保证的时候采取的算法非常简单,就是从总带宽中抠出要预留或保证的部分。如果要想做到这一点,Panabit就需要知道系统的总带宽有多少,用户可以使用policy setgbw命令告诉Panabit。policy setgbw命令的使用非常简单:

policy setgbw bridge=n in=nnn out=nnn [name=xxx]

其中:

1) bridge参数让用户选定网桥,1,2,3和4分别表示网桥1、网桥2、网桥3和网桥4;

2) in参数设置网桥的下行带宽;

3) out参数设置网桥的上行带宽;

4) name参数是可选的,用来设置网桥的名称;

所有带宽参数的单位均为kbps,所以1000就表示1Mbps。

如果想获取这些参数,则可以使用policy getgbw命令,这个命令的输出很简单,在此就不再赘述了。

3.6 内网IP统计选项配置(ipobj setarg)

在专业版里,内网IP统计选项缺省时关闭的,如果要打开这个选项,就需要是用ipobj setarg命令,它的使用方式如下:

ipobj setarg [enable=1|0] [ttl=nnn]

其中:

1) enable选项表示是否打开内网IP统计功能,1表示打开,0表示关闭

2) ttl用来设置内网IP的老化时间,当在此时间内没有流量时,系统就会将IP地址从表中删除,ttl的单位为秒,系统缺省值是1800秒。

2. 日志管理和接口

Panabit目前可以向外界输出其记录下来的行为,输出方式有:

1) 以NETFLOW v5格式输出给netflow服务器

2) 以文本方式输出给syslog服务器

3) 以Panabit专用格式输出给Panabit日志服务器或第三方提供的服务器

我们可以将Panabit的日志根据内容简要分为两大类:

1) 网络事件。比如连接终止,URL访问,QQ登陆和退出,MSN登陆,POP3登陆和DNS查询;

2) 网络流量。比如应用协议流量,内网IP流量。

目前Panabit对以下网络事件进行记录:

1) 连接终止。每条连接信息包括连接创建和结束的时间,4层协议5元组(源地址,目标地址,源

端口,目标端口,协议),应用协议信息(应用类型,流量)。

2) URL访问。记录URL访问记录,比如哪个IP在何时访问了哪个网站的哪条URL。

3) QQ登陆和退出。记录QQ用户登陆和退出的日志,比如哪个IP何时通过什么样的QQ号码登陆到哪个服务器。

4) MSN登陆。同上类似。

5) POP3登陆。同上类似。

6) DNS查询。记录用户访问DNS记录,比如哪个IP何时通过哪个DNS服务器查询了哪个域名。

4.1 网络事件日志配置(logger config, logger stat)

logger config命令的使用方式如下:

logger config [arg1=value1] [arg2=value2] …… [argN=valueN]

目前支持下面的参数:

1) logflow=none|syslog|netflow;

2) logqq=none|syslog|mem;

3) logmsn=none|syslog|mem;

4) logpop3=none|syslog|mem;

5) logdns=none|syslog|mem;

6) syslog_serverip=,SYSLOG服务器IP地址。

7) syslog_serverport=nnn,SYSLOG服务器端口。

8) netflow_serverip=,NETFLOW服务器IP地址。

9) netflow_serverport=nnn,NETFLOW服务器端口。

在上面参数中,”none”表示不记录日志;”syslog”表示以SYSLOG方式输出日志;”netflow”表示以NETFLOW v5格式输出日志;”mem”表示将日志输出到buffer中。

配置完后,用户可以通过logger stat命令查看当前各个参数的值,logger stat的输出比较简单,这里就不举例了。

4.2 显示缓冲区中网络事件日志信息(logger dumpbuf, logger clearbuf)

有时为了调试或其它某种目的,需要将日志信息保存到某个缓冲区中,并显示保存在该缓冲区中的信息。Panabit可以通过logger config命令的XX_savetomem参数来控制相应的日志内容是否保存中,如果对应的参数是1,则表示保存在内存中;否则就通过SYSLOG输出到SYSLOG服务器上。

用户在设置了上述选项后,可以使用logger dumpbuf命令查看保存在该缓冲区的所有日志内容。可

以通过logger clearbuf命令清楚缓冲区中的所有日志信息。

需要注意的,一旦该缓冲区已满,后续的日志将会被丢弃,而不是覆盖老的日志,同时, logger

dumpbuf命令也不会自动清楚缓冲区的内容。

4.3 网络事件日志内容格式

网络事件主要以SYSLOG或NETFLOW格式输出,其中SYSLOG居多(目前只有连接终止事件才会使用NETFLOW v5格式)。

当采用SYSLOG方式输出事件日志时,每个时间占用一行,并且以“”字符串开始,后面跟描述时间内容的字符串。如果SYSLOG服务器是共用的话,用户可以将这个字符串作为标识,表示这个来自于Panabit设备的时间日志输出。注意,“n”为设备标识(请看4.6),是用户设置的一个整数,缺省值为0。

4.3.1 连接终止事件

连接终止事件有两种格式:

1)SYSLOG格式

2)NETFLOW v5格式

SYSLOG格式

连接终止事件 := 连接类型 + 连接时间 + 连接信息+ 正向流量 + 反向流量

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1) 连接类型: 表示连接的应用类型及连接的类型(TCP或UDP),格式为“协议英文名称.tcp”或“协议英文名称.udp”。比如“”表示这是一个TCP类型的edonkey会话。

(2) 连接时间:格式为“起始时间-结束时间”,起始和结束时间都以秒为单位,表示从1970年0点开始的秒数,均为整数字符串。

(3) 连接信息:格式为“源地址:源端口-目的地址:目的端口”,比如10.1.1.10:1360-202.10.1.1:21。

(4) 正向流量:源地址至目的地址方向的字节数

(5) 反向流量:目的地址至源地址方向的字节数

4.3.2 QQ登陆退出事件

QQ登陆事件 := “qqlogin” + 登录时间 + QQ号码 + 登录地址 + 登录服务器地址

QQ退出事件 := “qqlogoff” + 登录时间 + QQ号码 + 登录地址 + 登录服务器地址

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1) 登录时间:登录时的时间,一个以秒为单位的整数字符串

(2) QQ号码:一个整数字符串

(3) 登录地址:QQ登录的计算机IP地址,格式为的字符串

(4) 登录服务器地址:QQ服务器地址,格式为的字符串

4.3.3 MSN登陆事件

MSN登陆事件 := “msnlogin” + 登录时间 + email帐号 + 登录地址 + 登录服务器地址

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1) 登录时间:登录时的时间,一个以秒为单位的整数字符串

(2) email帐号:用户的MSN帐号

(3) 登录地址:MSN登录的计算机IP地址,格式为的字符串

(4) 登录服务器地址:MSN服务器地址,格式为的字符串

4.3.4 DNS查询事件

QQ查询事件 := “dnsquery” + 查询时间 + 域名 + 源地址 + DNS服务器地址

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1)查询时间:查询时的时间,一个以秒为单位的整数字符串

(2)域名:要查询或者解释的域名,比如

(3)源地址:客户机的地址,格式为的字符串

(4)DNS服务器地址:DNS服务器地址,格式为的字符串

4.3.5 POP3登陆事件

POP3登陆事件 := “pop3login” + 登陆时间 + 账号 + 源地址 + POP3服务器地址

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1)登陆时间:登陆时的时间,一个以秒为单位的整数字符串

(2)账号:登陆时使用的账号

(3)源地址:客户机的地址,格式为的字符串

(4)POP3服务器地址:POP3服务器地址,格式为的字符串

4.3.6 URL访问事件

URL访问事件 := “www” + 访问时间 + 源地址 +“GET|POST” + HOST + URL

其中各个域之间通过一个空格隔开,各个域分别描述如下:

(1)访问时间:登陆时的时间,一个以秒为单位的整数字符串

(2)源地址:客户机的地址,格式为的字符串

(3)HOST:如

(4)URL:如/forum/

4.4 网络流量日志配置

前面我们说过,网络流量日志目前主要有下面几种类型:

1)应用协议流量和连接数

2)内网IP流量和连接数

Panabit会将上述流量信息传送给Panabit日志服务器,不同类型流量使用不同的UDP端口。服务器的IP地址和端口可以通过logger config命令进行配置:

logger config [logger_ip=] [logger_port1=nnn] [logger_port2=nnn]

其中:

1)logger_ip:这个参数用来设置日志接收服务器的IP地址;

2)logger_port1:这个参数用来设置日志接收服务器接收应用协议流量的UDP端口;

3)logger_port2:这个参数用来设置日志接收服务器接收内网IP流量的UDP端口;

4.5 网络流量日志内容格式

网络流量日志通过UDP报文传送给日志服务器,每个UDP报文包含一个报文头,1~N条相同类型的流量记录。报文中所有的整数格式数据都是Little Endian(即同X86字节序一样),所以只要日志服务器是X86的,就不需要做字节转换)。

报文头

记录1

记录2

……

记录N

4.5.1 报文头格式

字段名

tag

device

type

字节(类型)

0~3(char)

4~5(u_int16_t)

6(u_int8_t)

字段缺省值

“PNB0”

0

0

备注

报文类型标记

设备标识

报文后面记录的类型,1表示应用流量类型记录,2表示IP流量类型记录

num

seq

7(u_int8_t)

8~11(u_int32_t)

0

0

记录个数

数据包的序列号,发送时以递增的顺序发送,接收方可以通过此序列号判断丢包情况

time

internal

len

12~15(u_int32_t)

16~17(u_int16_t)

18~19(u_int16_t)

0

0

0

文头

4.5.2 应用流量记录格式

字段名

apid

linkid

字节(类型)

0~1(u_int16_t)

2~3(u_int16_t)

字段缺省值

0

0

备注

应用编号

0表示监控模式链路,1~4分别表示网桥1至网桥4,5~8分别表示虚拟链路1至虚拟链路4

flowcnt

upbytes

downbytes

4~7(u_int32_t)

8~15(u_int64_t)

16~23(u_int64_t)

4.5.3 内网IP流量记录格式

字段名 字节(类型) 字段缺省值 备注

0

0

0

最后时刻统计到的连接数

上行流量(字节)

下行流量(字节)

最后时刻(秒)

统计间隔(秒)

报文长度(字节数),不包含报

ipaddr

flowcnt

apid

Inbytes

outbytes

0~3(u_int32_t)

4~5(u_int16_t)

6~7(u_int16_t)

8~11(u_int32_t)

12~15(u_int32_t)

0

0

0

0

0

IP地址

最后时刻统计到的连接数

应用标识,0xffff表示所有应用

流入流量(字节)

流出流量(字节)

4.6 设备标识

当我们的日志服务器从相同的UDP端口接收来自多台设备的日志数据时,它就需要数据中有能区分日志数据来源的信息,Panabit是通过被称为device id的整数来标识的,这个整数是一个16位的无符号数。

用户可以通过logger config命令来配置设备标识:

logger config deviceid=nnn

注意,目前Panabit没有任何手段来确保多台Panabit设备之间的device id的唯一性,所以,用户在给不同设备设置device id时需要自己确保其唯一性。

3. 策略管理

Panabit的策略管理可以说是整个系统的核心之所在。在Panabit里,用户可以对不同类型的流量和行为做控制管理,这些控制和管理手段就是基于不同类型的策略实现的。目前,系统有三种类型的策略:

1) 流量控制策略:这是最常用的策略,这种类型的策略用来对各种应用流量进行控制管理;

2) 连接数控制策略:用来对内网IP的并发连接数进行控制管理;

3) HTTP控制策略:用来对HTTP流量进行控制管理,比如根据域名做阻断、重定向或信息提示等等;

每种类型的策略针对不同时机的数据包进行检查:

1) 流量控制策略:每个数据包都要检查;

2) 连接数控制策略:每个连接的第一个包进行检查;

3) HTTP控制策略:HTTP请求报文进行检查;

针对每种类型的策略,系统会独立调度。每种类型的策略都包含几个基本的对象:

1) 策略组:策略组是策略的集合,组中每条策略有一个序号,序号小的策略优先匹配;

2) 策略调度表:用户可以定义自己的策略调度原则,比如根据时间和在线IP数情况使用相应的策略组控制网络行为;每一条调度策略称为调度表中的一个调度表项;

上网WEB认证计费系统安装说明

2010-06-26 22:11:51| 分类: IT | 标签: |字号大中小 订阅

软件应用于:宾馆、酒店、小区等场所做宽带上网认证及收费依据。

操作系统要求:WINDOWS 20000 SERVER

硬件配置及最低要求:

硬件名称

摘要

CPU

C2.0 以上

内存

512M

网卡

10/100 网卡 2张

主板

865 GV

路由器

建议购买TP-LINK 如果用户不多可以使用 TL-R402M 一台

交换机

8口交换机一台

网络跳线

看情况

IP设置示意图:

NAT设置:

·Windows2000 Server NAT设置

在Windows 2000服务器版中提供了NAT功能(网络地址转换),使用该功能,可以让局域网中的所有机器通过一台服务器上网,并且,客户端不需要进行任何设置,所有的软件都可以直接访问互联网。NAT与“Windows网络共享”一个很大的不同之处在于,使用NAT上网时,服务器内网网卡可以设置成任意IP地址,而不是“Windows网络共享”规定的10.0.0.1。

一、服务器硬件要求

服务器需要有一块网卡与内网相连接,另外,需要用任何一种方式与INTERNET相连接。

二、设置服务器局域网网卡的IP地址

根据自己的要求或喜好设置服务器内网网卡的IP地址,比如:192.168.0.1、10.0.0.1等等。

三、启用并设置Windows 2000的NAT

1.点击“开始”->“程序”->“管理工具”->“路由和远程访问”,弹出如下窗口:

2.在弹出的窗口中对着计算机名右击鼠标,如上图的快捷菜单,选择“配置并启用路由和远程访问”,之后,会弹出如下窗口:

3.在该窗口中选择“Internet连接服务器”,点击“下一步”,弹出如下窗口:

4.在该窗口中选择“设置有网络地址转换(NAT)路由协议的路由器”,点击“下一步”,弹出如下窗口:

5.在该窗口中选择“启用基本的名称和地址服务”,然后连续点击“下一步”,直到出现“完成”,并点击它。这时系统会进行初始化提示,并且提示启用了路由等信息,这时的窗口内容会变成如下图:

6.展开“机器名”->“IP路由选择”,选择“网络地址转换(NAT)”,右击鼠标,弹出如上图的快捷菜单,点击“属性”,弹出如下窗口:

8.选择“地址分配”页面,选用“使用DHCP自动分配IP地址”,并且在“IP地址”文本框中输入想使用的IP地址段和子网掩码。如果局域网中的机器数量小于254台,子网掩码设置成255.255.255.0,如果机器数据比较多,可以设置成255.0.0.0,最多可以表示254×256台机器。这里需要注意的是,如果一开始内网网卡的IP地址设置成了10.0.0.1,这里也应该使用10.0.0.0这个网段。

至此,Windows 2000的NAT设置完成,并且已经起作用了。

四、在客户端进行测试

这时客户端的机器不需要进行任何设置就可以直接上网了。如果不能,把客户端重新启动一下。如果客户端还不能上网,并且客户端能够访问服务器,这时最好给客户端设置一个IP地址,并且设置DNS服务器的IP地址。

DHCP 服务器设置:

如果你想使客户机不作任何设置即可上网,就需要利用Windows(2000服务器版或2003)的DHCP服务。点击“管理工具”->DHCP,弹出如下向导窗口(如果你的机器中没有DHCP,在“添加删除程序”->“添加删除Windows组件”->“网络服务”->“动态主机配置协议(DHCP)”,则可添加DHCP服务):

作用域名称随便自己起。

我们想要分配给客户机的IP地址范围(下一步排除直接跳过)。

如果你的局域网中有服务器,它们一般需要固定IP地址,因此,它们使用的IP地址就要排除在外,以免DHCP服务器将它们的地址也分配给客户机,从而造成IP地址冲突。

由于我们使用Windows的NAT共享上网,并且服务器的内网网卡配置的IP地址为10.0.0.1,因此,对于内网的客户机而言,它们的网关就是10.0.0.1

客户机上网离不开DNS服务器,这里将你们ISP提供商给你们的DNS服务器地址添加到列表中。

软件安装:

1.

运行SETUP文件

2.

运行服务器配置

3.

设置服务器参数

如果用户量大,使用IIS支持,内置HTTP服务器必须关闭

IIS设置:路径是在程序文件夹下的IISWebFiles目录

用户量如果不大,可以使用内置HTTP服务器

WEB认证方式(启用HTTP服务器有效):

1.

加密认证 :使用WINDOWS加密发送验证信息。

2.

表单认证:使用明文发送验证信息。

管理端口:由管理端软件连接的端口。

网络设置:广域网IP为服务器WAN IP

控管网段IP 为内网IP段(注意:通常末尾数为0)

网关位服务器内网网卡的IP

如果内网使用10.0.0.0的子网掩码按默认。

下一部安装管理端软件。

本软件刚安装与设置完不需要重启服务器。

运行管理端软件,操作员:admin ,默认密码:123456

如果没有找到服务器请请设置服务器地址为服务器的广域网IP 本例为10.0.0.1 端口默认。

客户上网先打开IE输入广域网IP(本例为:10.0.0.1)进行上网认证。

卸载步骤:

运行服务器配置》》删除服务》》到开始里点击卸载。