超实用的PANABIT策略配置

明确自己的业务要求,就能在Panabit中清晰的设置策略.
目前,我这里最多11台电脑同时上网,ADSL带宽12Mb，白天上班时间限制视频和游戏，下班时间可以随便玩。

如不做限制，有6个人看视频的话，其他的人看网页都会不流畅。

还有1个原因是强迫同事在11点前休息，所以在晚上10点时就禁止游戏和视频，要不同事没足够自控能力，熬到12点，第2天精力不会好。

IP群组定义2个，1个用于不限制的，譬如我，1个用于自制力不强的同事。

也可以按公司部门来划分。

只做了流量控制。

同事每人给2Mb下行流量，限制P2P的上行为400kb，没限制前，P2P上行到了5Mb之多。

非工作时间，允许视频和游戏。

该休息了，断掉视频和游戏，只允许网页和QQ通信等。

以前网吧控制通宵，说是12点断网，但是利益驱动，他们也没坚持实现。

时间调度是控制星期一~星期六，星期天不控制。

我这里不是双休。

注意7、9，从22：00~5：00得分成2部分写，时间从大到小的写法是不可以的。

Panabit配置Alpha12008-03-07服务器安装完之后自然要开始配置了，还是第一次配置，自然要多向论坛里面的大侠们学习学习啦。

不过可能是我搜索的技术比较差，没有搜索到几篇，就自己动手配置一下先将就着用。

首先，要从公司对Internet需求出发，这个我们都很清楚，在配置流量控制的时候要考虑的不是怎么封堵，而是怎么放行才恰到好处。

这里就先谈谈我对以下配置的考虑：1、首先P2P下载绝对要首先杀出，这也是panabit开发组的一个出发点吧，我想也是所有网管保证网络畅通的第一想法吧，但是在使用过程中发现如果吧P2P杀出，对某些部门的用户有一定的不便，算了，限制在50K之内应该没有多少影响吧，使用之后看效果如何。

2、公司能上Intel的用户，一般都有下载一些小软件的爱好，但是需求不是那么高的，也就是不着急着用，慢点就慢点吧，可以考虑只限速（开放http分块下载和伪IE下载的限速就能保证大多数软件都可以使用，又不占带宽，论坛里面有一篇《对迅雷实行准确限速的规则设置方法》，借用一下他的思想）3、上班时间绝对不允许看电视、玩网游以及其他一些网络娱乐，可以阻断。

不允许看股票，但是呢，如果我把这个阻断，恐怕老板是第一个来找我麻烦的（各个部门的大哥大姐也会找麻烦，做人要低调吖，不能做的太绝，限速总可以吧，股票交易软件比较多，现在Panabit只提供3种的，哥们，不好意思，不是用那3种的等着被限速吧。

）4、对信息技术部（偶的部门）和总经理室成员必须不同对待，兄弟和给钱的（俗了点，呵呵）总不能亏待吧，如果网速都被这些人占了再调整吧。

5、本人对下载有很大兴趣，不过会自己限速，但是现在有这个限速的好软件，就让软件来约束一下，顺便可以看看软件的执行力如何。

本着以上5点想法开始以下设置，可能是偶的网络管理知识有限，对软件的设置中存在一些偏差，还请各位大大们多多批评指正：（一）网络设置（1）网络接口这里值得一提的是管理端口的IP设置，由于我们公司的网络管理模式是内外网物理隔绝，这个管理端口显得格外重要了。

一、设备连接拓补图说明：下图为一个流控设备的网络拓补图：流控设备作为网桥以便于对经过它的数据进行协议分析，从而达到对企业内部需要封锁的协议进行封堵。

其网线接口有严格的规定，否则将达不到预期的效果。

拓补图1：该企业只有一台路由器+若干交换机，在实际的应用中，由于路由器的功能限制，网络管理员很难对一些应用程序、网上电影、视频等做一些有效的封锁，像迅雷BT方面也是相当难以控制的。

针对这种类型的网络环境，只需要在路由器与交换机之间加一台流控设备便可以对网络中的BT、网上电影、WEB视频、网页游戏做到有效的管理与封锁。

使用本设备不会对企业内网造成影响，企业内网使用的如DHCP、DNS、WINS、FTP 等所有协议不会造成任何影响！另外受控的用户端也不需要附加任何设定，对用户端而言这些操作都是透明的。

拓补图2：该企业拥有多条上网出口线路，存在多台路由器。

企业使用本流控设备也不会对网络造成影响。

如下图所示，只需要在流控设备上添加一台HUB或是交换机，同样也能实现对网上视频、电影、Bt等有效的管制。

用户的电脑网关无论指向哪一个路由器都可以，之间的应用继续使用，不会对用户端造成影响！如下图示的拓补：二、连接到panabit流控主机本次实例以192.168.10.21（Panabit 流控主机）为实例：◆在局域的一台机器上打开IE浏览器，在地址栏输入主机的地址，如https://192.168.10.21备注：如果你使用的IE7或是IE8会提示安全证书有问题，请点击【继续浏览此网站】◆在弹出的验证窗口中输入账户及密码admin/password◆验证通过之后，会看到以下画面，这是系统的流量概况图。

恭喜你！此时你已成功连接到panabit主机了！三、配置配置panabit的管理接口与数据接口Panabit的管理接口与数据接口功能区分：管理接口：用于网络管理员通过IE进行连线管理数据接口：用于实现网桥对当前数据进行过滤◆点击【网络配置】的选项卡、可以看到当我们使用的管理接口FXP0,你可以根据需要修改管理IP地址。

Panabit配置手册
Panabit的网卡分配情况：
一、禁止QQ、MSN等即时通讯工具
详细步骤：
1.创建IP群组，命名为“禁止QQ”
2.创建协议组，命名为“禁止QQ”
点击“成员编辑”，左边列出了你所安装的Panabit目前版本所包含的特征库，选择一个或多个协议将其“添加至”右边即可，添加完后须“提交”才能生效。

3.策略管理
4.添加策略
在“应用协议”中选择协议，之前自定义的协议组会在这里调用，当然，也可以调用特征库中的协议。

5.策略调度
策略编辑完后，系统里只是有了这个规则的存在，但并没有应用到系统中。

所以，需要进行策略的调度，注意，在以后做的每条策略都需要做同样的调度动作。

在调度里可以设置策略生效的时段
注意：在任一时刻，只能有一个策略组生效
我们来看下策略使用后的结果：
大概过了10秒钟以后，QQ自动离线，策略配置成功。

二、禁止下载的配置
1．创建IP群组
2.添加禁止下载的文件格式类型
3.创建策略组
4.添加策略
5．策略调度
三、禁止访问某个或多个网站
1.创建IP群组
2.创建协议组，编辑成员
3.添加策略
4.调度策略
四、只允许访问某个或多个网站
1.创建域名群组
这里添加允许访问的域名
2.创建策略组
注意：此策略需要在http管控中创建
3.编辑策略
4调度策略
这里需要知道的是，策略成功调度以后，在第一次打开这些允许的网站的时候，会感觉非常缓慢，但是以后的访问就没有什么问题了，不必担心。

五、一些配置的实例
1.只能发邮件，放行某IP
2.限制迅雷。

1 Panabit体系结构Panabit支持两种接入和部署方案：旁路监听与透明网桥模式。

大多数用户使用后者。

在“透明网桥”模式中，Panabit以透明网桥方式部署在出口链路上，对出口链路上的双向流量进行协议分析、统计，同时根据所设定的规则对流量进行灵活的限制和分配。

为避免Panabit 遭受扫描、攻击，网桥上不需要配置IP地址，用户可通过专门的管理端口对Panabit进行配置管理。

典型的部署方式如图1所示。

图1 Panabit的透明网桥模式使用透明网桥模式接入，用户既可以统计流量，又可以做访问控制和带宽管理。

在“旁路监听”模式中，Panabit设备以旁路方式部署在交换机或路由器旁，通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。

在旁路监听模式下，Panabit只能对流量做分析统计，而不能做控制。

图2 Panabit监控模式许多初学者不理解“网桥”的意思。

在Panabit中，网桥总是成对出现的，由两个网卡组成，一个网卡连接内网，一个网卡连接外网，数据通过这个网桥。

Panabit对通过网桥的数据进行分析、控制。

2 Panabit安装Panabit的计算机，硬件配置要求P3 800Mhz或以上、256M内存或以上、3块网卡，256MB 以上电子盘或硬盘均可，光驱(安装软件用，安装完毕可以取下)。

推荐使用Intel 系列网卡，也可以使用Rtl8139等网卡。

如果你是第一次使用Panabit，建议你从Panabit网站下载live CD版（是一个ISO镜像，大小只有10几兆），下载之后，刻录成光盘，用该光盘启动要安装Panabit的计算机，很快就可以安装完毕，安装步骤如下：（1）在出现login后，使用用户名root、密码root登录（都是小写），如图3所示。

（2）登录之后，运行 ./setup启动安装，如图4所示。

注意，在Setup前面有个斜线和英文的句点。

Panabit简明配置手册1．Web管理界面(1) 登陆Web界面：https://192.168.1.100 (IP地址是登陆Web界面前，在FreeBSD系统临时设置的IP地址)使用ifconfig命令不加参数，即可查看系统识别的网卡设备名称和激活连线状态，找到连上网线Active的网卡，使用ifconfig fxp0 192.168.1.200 临时指定IP地址(此列fxp0是第一块intel网卡的设备名称，FreeBSD下不同网卡的设备名称不同，不同于Linux下以eth0、eth1这样顺序编号)。

提示：Panabit不使用FreeBSD系统的网络配置文件，通过命令行指定的IP地址仅临时使用，启动Panabit 时，根据Panabit系统的网络配置文件初始化，所以网络设置须通过登陆Web管理界面进行设置并提交后才会永久有效。

(2) Web界面缺省用户名、密码：用户名：admin密码：panabit2．配置管理Panabit配置管理分为三个部分：网络设置、系统参数、策略管理，其中主要的是策略管理。

(1)网络设置：工作模式与IP地址：示例：如下图所示，em0与em1构成网桥，分别连接外网与内网；em2做为管理口配置管理IP。

（如需工作在监听模式，只需点击对应网卡的“配置”选择“监听模式”并输入IP即可）缺省网关：输入缺省网关，提交即可。

注：系统工作在网桥模式时，输入缺省网关的意义在于：对于那些加密的P2P协议，必须保证Panabit自身可以访问到外网，主动探测引擎才可正常工作，否则这些加密协议将有可能被识别为未知应用。

(2)系统参数：内网IP统计：选择是否打开内网IP流量统计功能，并设置内网IP最大空闲时间（规定时间内无任何流量动作的空闲IP 将被系统自动从统计库中删除），提交。

注：内网IP流量统计功能是为中小企业用户量身定做的一项特色功能。

由于该功能会相应的降低系统的一些性能，所以在运营商及用户数量庞大的网络中，如需首要保证性能，则建议关闭此功能。

功能强大的网络行为管理软件panabit使用篇PA安装好之后，通过管理网络接口，使用电脑用浏览器登录，需要注意的是必须使用安全的http链接，即协议为https,所以在浏览器地址栏输入.3/(此地址为安装pa时输入的地址)。

即可看到登录界面：这里用户名：admin，密码：panabit即要登录。

出现主界面：从主界面可以看出，主菜单在上边，而左边显示的是在主菜单选择之后，其下对应的操作项目。

比如现在主菜单选择的是“监控统计”，而窗口左边则显示“监控统计”下可以进行的一系列操作，如果选择主菜单的其他项目，比如“对象管理”，则左边显示“对象管理”中可以进行的操作。

在使用系统之前，需要进行必要的设置：1、正确设置网桥参数：主菜单选择“网络设置”，左侧选择“数据接口”，如下图：这里的"em0"和"em1"即指的是系统安装的前两块网卡，其实需要在“应用模式”中选择“网桥1”，其中一块选择“接外网”，另一块选择“接外网”，需要分别点右侧的‘应用“使之生效，如果设置之后，网络计算机无法连接路由器，最常见的效果就是无法获取IP地址，这时需要将pa的两块网址的“接入位置”进行互换，一般情况下即可使网络畅通。

设置好之后，如果不进行任何设置，这个管理软件不起任何作用，就像不存在一样，网络上的数据只是通过它传输一下。

如果想真正让它起作用，就需要进行相应的应用设置了。

pa可以支持多达400多种网络协议的管理，这里不进行一一罗列，只是举一个例子，大家就可以看出它的强大，以QQ为例，可以进行的管理包括：普通聊天、视频聊天、文件传输这些应用都可以进行分别管理，可以让QQ只进行文字聊天，不进行视频聊天，还可以单独限制通过QQ传递文件。

而对一些电影网站、网络游戏同样可以进行管理，比如常见的youku，ku6等都可以进行单独的管理，可以做到想让用户看哪些网上的内容，用户就只能看这些内容，其他的内部都可以进行禁止。

使用Panabit免费实现多出口负载均衡由于网络应用对带宽需求的增长,对运营商而言，扩展出口带宽，实现南北互通加速已是必然的趋势。

出于成本的考虑，一般是通过增加出口的链路来解决这些问题。

此时对网关设备提出了新的挑战。

今天Panabit为大家提供了一个智能、高效、高性能的平台。

1）Panabit强大的路由性能。

Panabit目前单台能处理10G的数据；2）Panabit单台实现500条WAN线路（免费版本可实现3条WAN线路负载）；3）多链路负载均衡，Panabit的多链路负载均衡设置十分简单，且灵活；4）Panabit是基于应用的路由，传统路由在做策略的时候只能基于IP和端口，Panabit在传统路由的基础上，还基于应用做策略，比如把“迅雷”指向某条出口链路或者N条链路的负载群组；5）灵活的路由策略和控速策略，基于应用策略的控速能给终端用户带来更好的上网体验；下面就为大家介绍Panabit实现多出口负载均衡的详细设置：一.设置接口安装好Panabit后，进入Panabit管理页面，系统维护->网络设置->数据接口，数据接口的应用模式有“监控模式”和“网桥”。

纯路由我们就用监控模式。

“接入位置”设置（接内网的接口才能做LAN口）和（接外网的接口才能做WAN口），这里确定好我们的内网网卡和外网网卡。

二.设置线路应用路由->对象->接口线路，在LAN接口添加一个LAN口IP。

在WAN线路添加外网，目前支持静态IP和pppoe两种模式。

支持VLAN扩展如图，蓝筐所示，一个接口可以通过VLAN扩展成多个，演示截图是一个拨了505条ADSL 的设备三.设置线路组所谓线路组，就若干条线路组合在一起，Panabit是通过线路组实现多链路负载均衡的，Panabit内置了8个线路组，足以满足实际中的各种复杂灵活的负载均衡需求。

需要特别提到的一点是，线路组和线路之间是N：M关系，意思就是一个线路组中可以包含多条线路；但是一条WAN线路也可以放到不同的线路组中。

Panabit-为运营商网络实现七层路由负载均衡前言：在多出口线路环境中，传统的路由网关类产品只能通过源“IP地址+端口”的方式对流量实施Qos保障或引流，而随着网络应用的不断丰富，对于端口多变化、或经过加密的应用流量（如P2P类、网络电视类的这种流量）单纯依靠传统的路由器进行负载更显鸡肋，无从着手。

企业或运营商升级带宽或增加线路还是无法摆脱链路迅速被无关流量占满的尴尬局面。

市场上急需一款流量精细化运营设备，根据不同的应用路由到不同的链路。

Panabit-应用路由功能的推出，弥补了传统路由的不足，在常规路由功能的基础上可根据应用智能选路，智能负载，智能输出。

应用路由Panabit应用路由可根据针对具体的应用流量进行选路，使不同类型的流量分别走不同的链路q，达到保证类应用走优质链路，非保证类应用走劣质链路的目的。

例如：某运营商有二条出口链路，一条联通、一条电信、启用Panabit应用路由，使电信走游戏等关键应用的流量，下载等非关键应用走联通线路，无需牺牲非关键应用带宽，达到网络带宽智能化应用的标准。

应用路由-网桥代理模式网桥代理模式是在透明网桥的基础上通过外网卡进行应用代理的一种方式。

构建思想：将特定的应用重新封装成对应的IP地址，然后配合路由器将对应的IP路由到指定的线路上。

1.策略管理-->策略对象-->添加代理2.流量控制-->策略组-->添加策略注意流量方向选择上行，动作执行proxy应用路由-业务网关模式业务网关模式无需路由器的配合，Panabit自身可作为一个多功能的业务网关使用，使用Panabit 作为七层路由网关。

1.添加接口线路，应用路由-->接口线路-->添加LAN接口为局域网网关，WAN接口为ISP为其分配地址（WAN接口有两种接入方式：静态IP接入和PPPOE拨号接入）2.添加策略路由如下图所示，添加成功DNS管控DNS管控应用于规范终端用户私设DNS服务地址的行为，配合应用路由，起到网络加速；在运营商方面，降低网内流量流失，减少运营商之间结算成本等功能。

Panabit基本配置教程，全程在虚拟机环境中操作，真实环境上的配置和安装基本一致。

首先来看下，在虚拟机环境中，如何搭建环境。

在虚拟机中，需要安装3套虚拟系统，分别为：1、ros 用于充当路由器角色2、panabit 作为流控管理3、xp客户端，用于进行测试ROS：需要创建两块虚拟网卡，一块接外网，一块接内网。

ROS的安装设置就不多说了，接外网的网卡，不管你用什么方式，固定IP也好，PPPOE拨号也好，总之把外网搞通就OK，内网网卡IP设置为192.168.1.5，作为内网网关使用。

为了方便快速部署，我将ROS的外网网卡模式设置为NAT，IP为自动获取，这样就能直接共享本机上网了，ROS的内网网卡模式设置为VMNET2，先来看看我是怎么设的。

清楚了没有，按照这种方法设置即可。

下面来安装PA，PA需要三块网卡，其中1块做为管理网卡，需要连接一台PC，管理网卡要设置为bridge模式，因为这样本机（真实机）才能连接到PA上进行管理。

另外两块网卡，其中一块设置为vmnet2，用于连接ROS的内网卡，另一块设置为vmnet3，用于连接虚拟的XP客户端（在真实环境中，也要这样，PA必须设置在主路由器与核心交换机之间，如：ros—pa—交换机）PA的安装：我下载的是all in one版本，即操作系统和PA软件二合一版本，官方可以下载。

第一块网卡设置为bridge，用于连接真实环境中的PC，做管理口使用硬盘设置为1G，足够了。

然后来添加另外两块网卡。

添加一个vmnet2 的，用于连接ROS添加一个vmnet3的，用于连接XP客户端用PA的光盘引导后，到了一个需要输入用户名和密码的地方，用户名和密码均为ROOT 小写在根目录下输入./setup命令启动安装接下来的一些步骤我就不多解释了，按照我输入的操作即可安装完了，现在的界面是要求选择一块用于管理的网卡Le0 le1 le2的顺序，一般对应虚拟机网卡的顺序看到没有，就是对应下面三个图标的顺序虚拟机上，第一块网卡是bridge用于管理的，那么我们在安装界面中就选择LE0这一步是让你输入一个管理用的IP地址，我就选择192.168.1.70网关输不输都无所谓，我就随便输个OK，安装完毕，可以重启了。

Panabit最优小区宽带网络运营解决方案随着工信部下发“宽带接入市场向民营企业打开大门”的通知，一石激起千层浪，民营企业可以正式进入宽带接入市场了。

但是“光纤入户”概念的兴起和普及由来已久，各种网络应用的日渐丰富，小区用户对网络带宽质量的重视程度和要求水涨船高，面对更多网络服务商介入的激烈竞争，小区宽带如何能够以最小的投入换取最大利润是亟需考虑的问题。

面对用户庞大带来带宽不足的需求，大多数小区带宽运营商迫于形势不得不向一级运营商租用价值昂贵的线路，或引入多条线路，运营成本与日俱增，用户越多回报越少，小区宽带真正沦为一级运营商的打工者，小区宽带运营如何在激烈的市场生存已经是一个刻不容缓的问题。

Panabit对市场调研分析后，认为要实现小区宽带网络的运营盈利，最主要要体现在以下几个方面：1.高稳定性由于宽带运营商之间的激烈竞争，小区业主具有多方位的选择，这对各家宽带运营的带宽提出提出了超高的要求，网络内的用户存在各种不同时间上网的需求，这就要求网络不能经常中断、变更，由此对网络接入设备的稳定性提出了极高的要求；2.高性价比小投资，大回报，小区宽带投入最主要的目的是为了获得盈利，具有超高性价比的设备，能够让小区宽带运营商更快、更早的收回投资成本，为下一阶段做准备；3.易于升级维护一般新兴小区，用户数量较少，对负荷要求不高，但是随着业务的开展，用户不断的接入网络，当用户数量达到一个较高的数量时，对网络接入的设备就会有较高的性能要求，所选取的设备必须可以进行平稳过渡，因此在构建小区网络时，应充分考虑到易升级，易维护，平滑过渡的特性。

Panabit结合自身优势及对国内小区宽带运营的深刻理解，提出小区宽带网络运营解决方案，该方案围绕以网络“接入、管理、优化、审计”为向导，通过部署“智能应用网关”一体化设备，同时实现NAT、负载均衡、智能DNS、审计系统、BRAS等服务，避免了设备的多方面重复性投资。

实践证明，该方案完美解决了小区宽带运营商最为头疼的“投资与收益成反比”的问题，为小区宽带运营提供了最优的性价比。

Panabit全攻略《Panabit》-领先的网络核心技术，最专业的流控引擎、应用识别、智能控速、提升宽带使用率、保证网络高效稳定运行！打造不卡的公司或企业网络环境！还加入了路由功能，支持双线策略和负载。

1) Panabit部署位置2) Panabit硬件配置Panabit流控系统定位于网络设备级OS，需要安装在一台独立硬件中，3) 硬件配置要求《公司或企业Panabit》-推荐硬件配置：CPU：INTEL酷睿E2140或以上( 多核更能发挥PA的性能)内存：1G或以上、硬盘：1G以上电子盘或CF卡、硬盘均可网卡：单线4张，双线是5张，可用双口或者4口网卡。

必须是Intel的千M网卡，比如82540/1/2/3/4/5/6，82571/2/3/4, 建议PCI-E的网卡主板：随意按上面需求搭配特别注意：对于老CPU带(HT)超线程一定要在BIOS里关闭，一定要注意这个，切记！4) Panabit一键安装镜像安装文件下载地址：/downloadPanabitWBTEST20091128_fb7x.iso 下载后，可以刻成光盘或使用U盘引导，menu.lst格式如下：title PA公司或企业版fallback 6find --set-root /iso/PanabitWB091128.isomap /iso/PanabitWB091128.iso (0xff) || map --mem /iso/PanabitWB091128.iso (0xff)map --hookchainloader (0xff)savedefault --wait=2使用光盘或U盘启动，启动之后在login：输入root用户名，口令root，即FreeBSD提示界面，输入Panabit# ./setup安装过程大约需要1分钟左右，时间视硬盘大小格式化时间，安装过程首先是自动查找盘，如果有多个盘，会自动安装在系统排序的第一个盘，建议仅安装一个盘，可以是硬盘、CF卡、U盘等(盘容量要大于256M，建议512M以上。

Panabit智能应用网关产品手册v5.0公司名称：北京派网软件有限公司公司地址：北京市海淀区西北旺东路10号院10号楼中关村新兴产业联盟大厦一层邮政编码：100094公司网址：联系电话：86-10-82001781传真：86-10-82090830文档约定版权声明文中关于Panabit智能应用网关（以下简称“Panabit”）的资料、说明等相关内容归北京派网软件有限公司所有。

本文中的任何部分未经北京派网软件有限公司（以下简称“派网”）许可，不得转印、影印或复印、发行。

版本修订派网保留不预先通知客户而修改本文档所含内容的权利。

本文挡的开发过程是基于Panabit专业版V16.11.29，核心代号（魏晋R3）以上版本。

本文档描述的部分内容可能跟您购买的设备有差异，其原因可能是您购买的设备版本低于或者高于Panabit专业版V16.11.29。

责任限定派网对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括但不限于直接的、间接的、附加的个人损害或商业损失或任何其它损失。

意见反馈派网非常欢迎和珍惜您的意见和建议，请通过下列方式反馈您对产品文档的意见和建议。

◆通过电子邮件反馈，请发送至*******************。

◆通过/forum.php网站在线反馈。

◆通过客户服务电话4008981066热线电话反馈。

目录目录 (3)第一章产品简介 (5)1.1产品综述 (5)1.2产品规格 (5)第二章产品亮点 (6)2.1精准的应用识别 (6)2.2开放的操作系统 (6)2.3超高的处理性能 (6)2.4独特的负载均衡 (6)第三章网络部署 (7)3.1网桥部署 (7)3.1.1概述 (7)3.1.2基本配置 (7)3.1.3流量控制配置 (10)3.1.4连接数控制配置 (16)3.1.5HTTP管控配置 (18)3.1.6MAC绑定设置 (21)3.2网关接入 (22)3.2.1概述 (22)3.2.2基本配置 (23)3.2.3接口线路配置 (25)3.2.4策略路由设置 (27)3.2.5负载均衡设置 (29)3.2.6端口映射设置 (31)3.2.7DNS管控配置 (33)3.2.8DHCP配置 (36)3.2.9iWAN服务 (38)3.2.10应用分流配置 (40)3.2.11用户认证 (43)3.2.12账号管理 (43)3.2.13PPPOE认证配置 (45)3.2.14Web认证配置 (56)3.2.15PPPOE代拨网关 (59)3.2.16游戏快线 (61)3.3旁路接入 (62)3.3.1概述 (62)3.3.2基本配置 (63)3.3.3Panalog对接配置 (63)3.3.4缓存牵引配置 (64)第四章应用商店 (68)4.1应用商店概述 (68)4.2DDNS服务 (68)4.3共享检测 (69)4.3.1概述 (69)4.3.2加权算法 (70)4.4云服务 (71)4.4.1概述 (71)4.4.2配置 (71)第五章设备维护 (72)5.1维护概述 (72)5.2维护基本原则 (72)5.3如何获取技术支持 (73)5.4接口维护 (73)5.4.1管理接口维护 (74)5.4.2数据接口维护 (75)5.5安全维护 (76)5.6配置备份 (78)5.7固件升级 (80)FAQ (83)第一章产品简介1.1产品综述Panabit是专门为运营商、金融、政府、教育、医疗、企业、酒店提供高性能、高可用性、功能丰富的出口一体化智能应用网关。

Panabit推荐硬件配置参考高性能版本硬件推荐：1. PCIX还是PCIE?网络设备性能高低主要体现在如下两个方面:(1) CPU性能: 这直接影响到小包的处理速度,也就是pps(2) IO:主要体现在网卡同内存之间交换数据的接口,目前主要有PCIX和PCIE两种.下面主要介绍一下PCIX和PCIEPCIX是共享式总线,PCIX有如下规格:(1) 66bit * 64Mhz: 总带宽约66 * 64M = 4Gbits/s(2) 66bit * 100Mhz: 总带宽约66 * 100M = 6.6Gbits/s(3) 66bit * 133Mhz: 总贷款约66 * 133M = 8Gbits/sPCIE同PCIX不一样, PCIE不是共享式的,PCI-E是一种双向串行连接。

其总线本身又分成数个通道，每个通道支持2.5Gbit/S的双向数据传输速度。

通过编码和误差校验处理后，数据被转换成适用于NIC、HCA和HBA传输的2Gbit/秒的有效带宽。

这里需要着重介绍的一个概念就是通道。

举个例子，如果你要使用4Gb的Fiber Channel，并在一个端口的HBA上全双工运行的话，就需要400MB/S的双向带宽。

如果使用PCI-E技术，只需要两个全速开放的子通道就能够满足需求。

也可以使用单通道，但是会被限制在250MB/S的速度上。

PCIE的通道数及其速率:(1) x1: 每个方向可以同时传输2.5Gbits/s,实际有效数据为2.5G * 8 / 10 = 2.0Gbits/s(2) x2: x1 * 2 = 4.0Gbits/s * 2(3) x4: x1 * 4 = 8.0Gbits/s * 2(4) x8: x1 * 8 = 16.0Gbits/s * 2(5) x16: x1 * 16 = 32.0Gbits/s * 2系统接收到一个数据包到数据包发送出去,总共要从总线上传输两次,因此,如果希望系统能够实现双向2G线速,则要求总线至少具备4Gbits/s的带宽,从理论上说,上述两种总线都是足够的.但是由于PCIX是共享式的,并且地址和数据都通过总线进行传输,因此在实际中需要打一个折扣,一般为60%(如果是打包,则比例会更高一些) ,也就是说对于66bit * 64Mhz的PCIX总线而言,其提供给数据的有效带宽为60% * 4Gbits/s = 2.4Gbits/s,因此它不能达到双向 2G 线速的要求.同样的我们也可以得出,只有100Mhz和133Mhz的总线才有可能达到这个要求.而PCIE由于是独享式的,两个方向可以同时发送和接收,因此x1, x2, x4, x8, x16均可以达到要求.总结一下：(1) PCIE比PCIX有更高的带宽(2) PCIE比PCIX有更低的单向延迟,这主要是由于其全双工操作特性.因此在选择主板和网卡的时候,要尽量考虑其对PCIE的支持.2. 主板的选择Intel平台的主板基本上为南北桥结构.CPU <-- FSB --> MCH(北桥) <-- ICH -->南桥或者:CPU <-- FSB --> MCH(北桥) <-- PCIE -->ESB(南桥)在选择主板的时候,一定要看清楚主板所使用的芯片组(特别是MCH).在关注芯片组时,要看:(1) 芯片组所提供的接口规格及其数量.(2) FSB频率,一般有800M,533M,当然,频率越高越好.目前比较常用的服务器芯片组有:(1) E7320(2) E7520上述两个芯片组为北桥,都提供了PCIE x8接口,并且都支持800M 的FSB,因此是我们的理想选择.使用上述芯片组的有很多主板,比如Intel自己的,还有超微(SuperMicro)的.3. 网卡选择主要是使用Intel的网卡,因此这里主要评论Intel的网卡. 在选择网卡是要注意如下因素:(1) 网卡的驱动是否支持POLLING(2) 是服务器网卡,还是Desktop卡(3) 网卡的接口类型(PCIX还是PCIE),如果是PCIX,最大支持的频率多大,如果是PCIE,最多可以支持几个LANE(一般为X4较好)(4) 价格Panabit认为Intel卡是高端用户不错的选择.4. CPU选择Panabit没有在AMD的CPU运行过,所以无法对其给出评价,选择CPU一般是同主板相关的.XEON CPU性能不错但是价格高.5. 推荐配置（1）配置1主板：X6DHR-iGS或X6DHR-iG2CPU: XEON 2.8G说明:(1) X6DHR-iGS/2主板上有一个82546GB双端口卡,82546GB支持PCIX 64bit * 133Mhz,因此可以实现双向2G线速效果.(2) 这块主板上还自带了一块百兆卡,刚好可以做管理口使用（2）配置2主板：X6DVL-EG2（使用E7320芯片组，支持800MFSB，双通道DDR400）CPU: XEON 2.8G网卡：Intel PCIE服务器双端口网卡（使用82571GB芯片）说明：(1) X6DVL-EG2主板上自带了2块Intel的82541千兆卡，这两块卡对付双向流量<500M的环境绰绰有余.因此如果不需要千兆线速,就不用买PCIE双端口网卡了.(2) 述的配置加在一起不超过6000人民币，但是却可以做到900kpps，2G(>256字节）线速！如果使用更高频率的CPU（比如3.4G），效果应该更好！。

下面是我自己配置使用在外网流控上的策略，这是我使用pa流控免费版以来，自己的理解和总结，跟大家探讨一下。

这些策略的目的是控制内网p2p下载、在线视频、网络游戏等上班时间受限制的流量，提高每用户上网浏览的体验，禁用私接路由器和随身wifi热点，做到每个用户平等共享出口带宽创建策略之前，先做准备工作，创建后面用到的IP群组和数据通道以及自定义协议。

1、创建IP群组，目的：分组控制，比如公司领导带宽高些、用无线路由不受限制，放在“不受限制的IP”和“允许无线的IP”里面。

创建IP群组，例如领导的“不受限制的IP”2、创建数据通道，目的：让那些不受网管欢迎的应用协议走比较窄的通道，划分一个较宽的通道留给打开网页等常规应用，提高上网浏览的体验。

使用“允许”的，是直接走网桥全部带宽的，不用走数据通道。

创建数据通道，可以自己定义名称，我这里的“受限”通道给受限的协议用，上网通道给常规浏览页面用然后编辑数据通道的优先级，用到优先级就编辑，不用优先级就使用整个通道3、创建自定义协议，目的：把某些需要统一控制的应用协议圈到一起，方便做控制。

自定义协议组，创建自己命名的协议组，可以看到我的“上网”协议组和“受限协议组”包括的协议添加应用协议到自定义的协议组编辑自定义协议组包含哪些协议，选中某个协议后点“添加至”，最后添加完了别忘点“提交”4、创建流量控制的策略组我设置的流量控制“上班控制”协议组说明：100是放行允许的无线路由和移动设备的200是阻止私接路由器、热点和网卡桥接共享的210是阻止安卓和苹果手机平板等移动上网的300是带宽比较高的群组，而且可以看视频玩游戏下迅雷比如公司领导们和你自己500和510分别控制正常上网行为（浏览网页）的下行和上行，下行优先级和带宽高，上行反之600和610分别控制自定义协议组“受限”里那些协议的下行和上行，同上，带宽在上班时间很低700和710控制每个IP用到的其他协议，同样下行上行分别控制后面都是”停止“，流控引擎匹配到符合前面每个选项的数据流（动作列左边都是匹配项），就给予这条规则设置的通道和速率规则的意思是：线路是这个么？数据流向是这个么？内网地址是这个么？外网地址是这个么？协议是这个么？应用是这个么？共享有这些（或更多）么？移动设备有无？（不填就是忽略此项，也就是any）前面每个项目都匹配了就执行后面的限制。