Panabit流量管理系統(tǒng)使用經(jīng)驗

1Panabit體系結(jié)構(gòu)Panabit支持兩種接入和部署方案：旁路監(jiān)聽與透明網(wǎng)橋模式。大多數(shù)用戶使用后者。在“透明網(wǎng)橋”模式中，Panabit以透明網(wǎng)橋方式部署在出口鏈路上，對出口鏈路上的雙向流量進行協(xié)議分析、統(tǒng)計，同時根據(jù)所設(shè)定的規(guī)則對流量進行靈活的限制和分配。為避免Panabit遭受掃描、攻擊，網(wǎng)橋上不需要配置IP地址，用戶可通過專門的管理端口對Panabit進行配置管理。典型的部署方式如圖1所示。圖1Panabit的透明網(wǎng)橋模式使用透明網(wǎng)橋模式接入，用戶既可以統(tǒng)計流量，又可以做訪問控制和帶寬管理。在“旁路監(jiān)聽”模式中，Panabit設(shè)備以旁路方式部署在交換機或路由器旁，通過交換機或路由器的“PortMirror”(端口鏡像)技術(shù)對經(jīng)過交換機和路由器的上下行端口的流量進行協(xié)議分析、統(tǒng)計。在旁路監(jiān)聽模式下，Panabit只能對流量做分析統(tǒng)計，而不能做控制。圖2Panabit監(jiān)控模式許多初學(xué)者不理解“網(wǎng)橋”的意思。在Panabit中，網(wǎng)橋總是成對出現(xiàn)的，由兩個網(wǎng)卡組成，一個網(wǎng)卡連接內(nèi)網(wǎng)，一個網(wǎng)卡連接外網(wǎng)，數(shù)據(jù)通過這個網(wǎng)橋。Panabit對通過網(wǎng)橋的數(shù)據(jù)進行分析、控制。2Panabit安裝Panabit的計算機，硬件配置要求P3800Mhz或以上、256M內(nèi)存或以上、3塊網(wǎng)卡，256MB以上電子盤或硬盤均可，光驅(qū)(安裝軟件用，安裝完畢可以取下)。推薦使用Intel系列網(wǎng)卡，也可以使用Rtl8139等網(wǎng)卡。如果你是第一次使用Panabit，建議你從Panabit網(wǎng)站下載liveCD版（是一個ISO鏡像，大小只有10幾兆），下載之后，刻錄成光盤，用該光盤啟動要安裝Panabit的計算機，很快就可以安裝完畢，安裝步驟如下：（1）在出現(xiàn)login后，使用用戶名root、密碼root登錄（都是小寫），如圖3所示。（2）登錄之后，運行./setup啟動安裝，如圖4所示。注意，在Setup前面有個斜線和英文的句點。圖3登錄圖4啟動安裝程序（3）在“Doyouwanttocontinue(y/n[n])?”提示后輸入y，然后按“回車鍵”，如果按其他鍵，將退出安裝程序。在“Pleaseselectone[da0]”提示后面直接按“回車鍵”；在“Doyouwanttocontinue(y/n[y])?”提示后面直接按“回車鍵”，如圖5所示。圖5確認安裝（4）安裝完成后，選擇用來管理Panabit的網(wǎng)卡。Panabit安裝程序會列出當前已經(jīng)安裝好驅(qū)動程序的網(wǎng)卡，請選擇其中一個用來管理，在我做實驗的虛擬機中，顯示em0、em1和em2。在“Pleasechooseoneofaboveasyouradmininterface”后面鍵入一個想用來管理的網(wǎng)卡，例如em0，然后按回車鍵，之后設(shè)置管理地址、子網(wǎng)掩碼與網(wǎng)關(guān)地址，如圖6所示。需要注意，此設(shè)置的地址要能被局域網(wǎng)段的其他計算機訪問到，并且Panabit管理網(wǎng)卡連接到正確的交換機端口上。如果你單獨為Panabit設(shè)置了一個管理地址并單獨添加到一個VLAN中，需要將Panabit管理網(wǎng)卡連接相應(yīng)的交換機端口上。圖6選擇管理接口網(wǎng)卡和設(shè)置管理地址（5）然后執(zhí)行shutdown–rnow重新啟動計算機3讓Panabit開始工作重啟后，在網(wǎng)絡(luò)中的一臺工作站上，連接到管理地址，在本例中，管理地址是3，Web管理用戶名admin，口令panabit，如圖7所示。你可以登錄后修改這個密碼。圖7登錄到Panabit登錄之后，在“網(wǎng)絡(luò)配置→數(shù)據(jù)接口”中，設(shè)置應(yīng)用模式，如果是“流量控制”模式，則需要設(shè)置網(wǎng)橋、并且要設(shè)置網(wǎng)橋的接入位置，這是非常重新的一步，如圖8所示。圖8數(shù)據(jù)接口許多初學(xué)者，或者初次使用Panabit的用戶，都會在此“犯錯誤”。所以，我們要重點介紹這些內(nèi)容。（1）如果你的Panabit計算機安裝有三塊網(wǎng)卡，其中一塊網(wǎng)卡已經(jīng)設(shè)置為管理網(wǎng)卡，則另外2塊網(wǎng)卡，只能組成“一個網(wǎng)橋”；如果你的Panabit計算機有5塊網(wǎng)卡，一塊設(shè)置為管理網(wǎng)卡，另外4塊網(wǎng)卡，每2個可以組成一個網(wǎng)橋，一共可以組成2個網(wǎng)橋。（2）Panabit中可以支持4個網(wǎng)橋，當只有2塊網(wǎng)卡組成一個網(wǎng)橋時，在“應(yīng)用模式”中，選擇同一個網(wǎng)橋名稱就行了，例如網(wǎng)橋1,或者網(wǎng)橋2、3、4,只要是同一個就可以。（3）注意網(wǎng)橋的方向。在選擇了網(wǎng)橋的名稱后，接到內(nèi)網(wǎng)核心交換機上的網(wǎng)卡，在“接入位置”下拉列表中選擇“接內(nèi)網(wǎng)”，連接到路由器或防火墻的那塊網(wǎng)卡，則選擇“接外網(wǎng)”。如果你分不清那塊網(wǎng)卡是接內(nèi)網(wǎng)、外網(wǎng)的，那也比較簡單，隨便從Panabit計算機上拔下一根網(wǎng)絡(luò)來，然后在Panabit管理界面按F5刷新，如果不能再次管理Panabit，則說明拔下的是管理Panabit的網(wǎng)線，如果斷下的是內(nèi)網(wǎng)或外網(wǎng)網(wǎng)線，則會在“網(wǎng)絡(luò)配置→數(shù)據(jù)接口”右側(cè)相應(yīng)網(wǎng)卡位置顯示“電纜被斷開”的類似提示。這時候就能分清那塊網(wǎng)卡連接到那個網(wǎng)絡(luò)了。網(wǎng)橋的關(guān)鍵配置詞是“網(wǎng)橋是成對出現(xiàn)的，并且網(wǎng)橋的方向有出有進”。當配置好后，進入“監(jiān)控統(tǒng)計”選項卡，當網(wǎng)橋的配置正確并且“內(nèi)網(wǎng)”有計算機訪問外網(wǎng)時，可以在“監(jiān)控統(tǒng)計→整個系統(tǒng)”中，在左下角的餅形圖中，可以看到不同的顏色（如圖9所示），這表示Panabit已經(jīng)開始工作；如果一直是個“灰色”，則表明Panabit沒有工作，此時，內(nèi)網(wǎng)的計算機也不能訪問外網(wǎng)。當Panabit開始工作后，系統(tǒng)先要保證網(wǎng)絡(luò)的正常使用，不配置策略以純橋方式進行流量分析，流量分析是逐步進行，初始時未知比例會很大并逐漸下降；通常24小時之后，各類流量比例才會趨于穩(wěn)定，此時再根據(jù)流量分布比例，開始配置流量管理策略。策略設(shè)置好后的一周內(nèi)，需要根據(jù)網(wǎng)絡(luò)的實際運行情況和用戶反饋狀況做適當?shù)恼{(diào)整直至恰當為止。圖9監(jiān)控統(tǒng)計如果要修改管理地址，可以在“網(wǎng)絡(luò)配置、管理接口”中設(shè)置，如圖10所示。圖9管理接口配置4Panabit策略設(shè)置Panabit的策略設(shè)置比較簡單，但需要注意以下幾點：在限制“內(nèi)網(wǎng)”計算機訪問Internet時，最好只是限制“速度”，而不要限制“并發(fā)連接”數(shù)。在實際使用中，如果限制了并發(fā)連接數(shù)，即使給用戶很高的速度，用戶訪問網(wǎng)絡(luò)也很慢；但在不限制并發(fā)連接數(shù)后，即使限制用戶的速度，用戶訪問網(wǎng)絡(luò)也非?？臁嵗耗硢挝痪哂?M的出口帶寬，長期穩(wěn)定在線用戶有70～90臺計算機之間，在不限制內(nèi)網(wǎng)計算機并發(fā)連接數(shù)的情況下，限制每個IP800Kb/s的速度時，用戶訪問網(wǎng)絡(luò)的速度就很快。5升級Panabit系統(tǒng)及特征庫在使用Panabit做流量監(jiān)控時，包括其他的流量監(jiān)控設(shè)備，需要及時升級特征庫，才能及時的捕獲新的協(xié)議（或新的應(yīng)用）。Panabit在這方面做的也比較好。即使使用的是免費的版本，也可以很容易的獲得升級的特征庫并且完成升級。但許多初學(xué)者，不知道怎樣才能下載到特征庫，也不知道怎么升級，下面就說一說這個問題。（1）檢查Panabit流量監(jiān)控軟件中，安裝的FreeBSD的版本。你可以在安裝Panabit的計算機上，使用用戶名root與密碼root登錄，在屏幕的第一行，顯示了FreeBSD的版本，如圖10所示。圖10檢查當前FreeBSD的版本在本示例中，F(xiàn)reeBSD的版本是8.0。（2）然后登錄Panabit的官方網(wǎng)站，在/download/index.html，下載基于FreeBSD8.0的最新的Panabit安裝包，而不是LiveCD安裝鏡像，也不要下載其他FreeBSD版本的安裝包。在本例中，下載到安裝程序為877KB大小、文件名為Panabit1001_fb8x.tar.gz。（3）登錄到Panabit管理界面，在“系統(tǒng)維護”選項卡中，進入“系統(tǒng)升級→系統(tǒng)升級”，在右側(cè)，單擊“瀏覽”按鈕，瀏覽上一步下載到的安裝程序，然后單擊“上傳升級包”按鈕，如圖11所示。圖11上傳升級包上傳完成后，在“系統(tǒng)升級→系統(tǒng)更新”中，單擊“進行升級”鏈接，如圖12所示。圖12開始升級大約20多秒后，升級完成，并彈出圖13的對話框。圖13升級完成【注意】不要用不同版本的FreeBSD的Panabit安裝程序升級，否則升級后，系統(tǒng)會不能使用。目前可以為基于FreeBSD的7.x與8.x版本的Panabit升級。6重安裝與升級如果你以前安裝的Panabit是基于FreeBSD6.2版本的，則不能用剛才的方法升級，這個時候，可以將當前Panabit的