《Linux操作系统实用技术-16-panab.ppt》由会员分享,可在线阅读,更多相关《Linux操作系统实用技术-16-panab.ppt(58页珍藏版)》请在三一办公上搜索。
1、Linux操作系统实用技术第十六课 基于Linux的应用软件,河北经贸大学王春海,基于FreeBSD的流量控制软件,Panabit是基于FreeBSD Linux操作系统开发的应用层流量管理系统,特别针对P2P应用的识别与控制进行开发其标准版可以免费使用,限制并发连接256个IP地址,Panabit是目前国内开放度最高、免费、专业的应用层流量管理系统,特别针对P2P应用的识别与控制,截止2009年10月25日,已经支持实际主流应用360种以上,并以两周更新一次特征库的速度持续更新(包括已支持协议和新增协议两方面的更新,Panabit已识别协议列表请关注Panabit网站首页支持协议)。Pana
2、bit在精确识别协议即对应用分类的基础上,根据用户自定义策略,提供灵活方便的流量管理机制:带宽限速、带宽保证、带宽预留,并可基于协议/协议组、IP/IP组进行参数化的策略设置。,Panabit流控系统定位于网络设备级OS,需要安装在一台独立硬件中。Panabit发布的标准版,都是最新研究成果和最新稳定版本,无有效期等限制,完全可以满足DIY百兆级专业流控设备。Panabit在网站公开发布的第一个标准版是Panabit V7.04,于2007.04.30 Panabit官方网站发布。,Panabit流控引擎,基于稳定性坚如磐石的FreeBSD开发,安装Panabit之前,需要先安装好FreeBS
3、D 操作系统;为了方便使用,自Panabit V7.09起,同步发布Live CD版,使用Live CD无需安装,直接光盘启动,Panabit即全部运行在内存中。,支持协议更新),1)HTTP协议:web视频(优酷,酷六,六间房,YouTube,土豆网,Hulu,Sohu视频,Sina视频,我乐网,腾讯宽频,i酷,凤凰网,CCTV点播,Viewgood,其他Web视频),HHTP下载(伪IE下载,HTTP分块传输,其他下载),Flash、Web音乐,HTTP代理,WWW。2)常用协议:电子邮件(SMTP,POP3,IMAP),Telnet,FTP,DNS,DHCP,TFTP,SNMP,NFS,
4、NTP,CVS,NETBIOS,Microsoft-DS,Remote-Sync,远程桌面,Socks4/5,UPNP,SYSLOG,DAYTIME,DECRPC,LDAP,360更新,Nod32更新,卡巴斯基更新,Windows更新,NAT端口映射,ISA。,3)P2P下载:BT系列协议(BitTorrent,BT扩展协议),eDonkey,Poco,迅雷,Gnutella,Fasttrack,DirectConnect,AppleJuice,百度下吧,百宝,酷狗,Vagaa,Ares,Napster,Mute,iMesh,SoulSeek,WinMX,脱兔,PPGou,天网Maze,搜娱,
5、PP点点通,酷我音乐盒,RaySource,超级旋风,Flashget,汉魅,P8,Foxy,aMule,顶悦视听盒。4)网络电视:PPStream,PPLive,沸点,乐酷,QQ直播,CCIPTV,TVAnts,TVKoo,PPMate,MySee,悠视TV,极速酷6,QVod,PPFilm,迅雷看看,SopCast,VJBase,JeBoo,风行,青娱乐,飞速土豆,BOBO,Netitv,新浪电视直播,搜狐电视直播,iV影音加速器,乐鱼,暴风影音。5)即时通信:腾讯QQ(QQ聊天,QQ文件传输,QQ视频聊天,TecentMessager),MSN(MSN聊天,MSN视频),雅虎通,Goog
6、leTalk,新浪UC,新浪UT,AIM,IRC,网易泡泡,阿里旺旺,淘宝旺旺,Lava-Lava,飞信,百度hi,Teamspeak,腾讯RTX。6)股票交易:钱龙系,大智慧,同花顺,大福星,富远行情,大有期货。7)流媒体:RTSP,RTMP,MMS,QuickTime,BBSee,WMPlayer,RealPlayer,磊客,新浪奥运视频,网易奥运视频,QQ奥运视频,央视高清。8)网络电话:Skype,H.323,SIP,UUCall,ET263,MGCP,铁通飞线,Net2Phone,铁通RedVip,Vtalk,SIPhone。,9)网络游戏:第九城市(魔兽,奇迹世界,卓越之剑),巨人
7、网络(巨人,征途),蓝港在线(倚天剑和屠龙刀),盛大网络(新英雄年代,传奇系列,盛大富翁,彩虹岛,龙骑士,风云,冒险岛,热血传奇,超级舞者,英雄连,诸侯,生死格斗),世纪天成(跑跑卡丁车),天游集团(蒸汽幻想),完美时空(完美世界,武林外传2,神鬼传奇),卓智时代(纵横时空),天晴数码(机战/魔域,投名状,征服,91开心游戏),17game(热血江湖),光宇在线(问道,希望,西游Q记,神界,炫舞吧),光通网络(神泣,数码宝贝),腾讯游戏(QQ幻想,QQ三国,QQ音速,地下城与勇士,QQ游戏),中广网(武林群侠传),网易游戏(泡泡游戏,大话西游3,梦幻西游,大话西游2,大话西游外传),金山游戏(
8、水浒Q传,反恐行动OL,春秋Q传,仙侣奇缘2),新浪网游(新浪游戏,天龙八部),中国游戏中心,劲舞团,面对面,街舞,突袭,战火红警,联众世界,凤舞天骄,功夫世界,海之乐章,新魔界,QQ飞车,QQ华夏,QQ炫舞,QQ自由幻想,QQ寻仙,新飞飞,星际家园,生肖传说,霸王系列,勇气OL,超级跑跑,冒险宝贝,X-乒乓,乱武天下,秦始皇,穿越火线,武易,伊苏战记,众神之战,三国鼎立,乱世枭雄,贸易街机,风雷游戏,魔力宝贝,浪漫传说,浪漫庄园,永恒之塔,蜀山系列,浩方对战平台,FIFA On Line,梦想世界,弹头骑兵,星尘传说,同城游,梦幻古龙,梦幻龙族,千年,热血英豪,热舞派对,反恐精英OL,露娜,
9、街头篮球,名将,游戏人生,妖怪A梦,宠物森林,风火之旅,刀剑,对战平台(掌门人,JJ比赛,GCC对战平台,VS对战平台,宽带中国,远航游戏中心,豆客,多多视频(对战平台),边锋,175平台),惊天动地。,10)网络安全:SSH,HTTPS,L2TP,PPTP,IPSec,GRE,OpenVPN。11)数据库:MSSQL。12)其它:SYN_ACK,ICMP,IGMP,非IP3层协议,其他4层协议,文件下载及视频,在线交互式应用,IP分片,OSPF,BGP,ARP,看天下,PPPOE,内网IP伪装,自定义协议。,Panabit技术特色,1)“节点跟踪技术”极大提高了系统性能。2)“加密协议深度识
10、别”保证对P2P识别的准确率,能识别加密协议。3)“Panabit特征库”,用自主开发、描述能力强的协议特征描述语言”PSDL(Protocol Signature Description Language),使得维护协议特征库方便并快速发布。软件性能 配置适当的硬件,Panabit标准版保证100Mbps线速,专业版完全满足处理双向4Gbps吞吐量。软件安装环境 硬件:Intel x86平台,配置P3 800Mhz以上、256M内存以上、3块网卡,128M以上电子盘或硬盘均可。操作系统:FreeBSD 6.2或以上(Panabit 2007仅支持FreeBSD 4.11)。,配置管理,1)安
11、全的中文Web管理界面,可在网络的任何位置灵活方便的进行配置管理。2)配置简单,界面简洁,轻松上手。3)特征库web界面升级,全功能Web管理与监控。其它 成熟的产品化解决方案,如支持硬件Lan Bypass,避免单点故障,保障网络不间断运行;支持CF或DOM电子盘安装介质;单套系统支持4路桥接(inline),策略分桥配置和流量分桥统计。,Panabit支持两种接入和部署方案,(1)旁路监听(2)透明网桥。,透明网桥模式,Panabit以透明网桥方式部署在出口链路上,对出口链路上的双向流量进行协议分析、统计,同时根据所设定的规则对流量进行灵活的限制和分配。为避免Panabit遭受扫描、攻击,
12、网桥上无需配置IP地址,用户可通过专门的管理端口对Panabit进行配置管理。典型的部署方式如下图所示:,未安装Panabit前的网络拓扑结构,安装Panabit后的网络拓扑结构,使用透明网桥模式接入,用户既可以统计流量,又可以做访问控制和带宽管理。,旁路监听模式,Panabit设备以旁路方式部署在交换机或路由器旁,通过交换机或路由器的“Port Mirror”(端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。(旁路监听模式下,Panabit只能对流量做分析统计,而不能做控制。)典型的部署方式如下图所示:,采用监听模式接入,Panabit不会对现有网络造成任何影响,典型
13、的使用方式是用户先采取监听模式采集网络的各种流量信息,然后根据网络实际情况制定相关访问控制和带宽管理策略,最后以透明网桥或透明网关模式将Panabit接入到网络中。,创建实验环境,1、创建Red Hat Linux 5 64bit企业版,使用256M内存、单CPU、3块网卡、IDE硬盘2、使用panabit 7.02 CD镜像作为虚拟机光驱,启动虚拟机,光驱启动,用root/root登录,运行./setup,Do you want to continue(y/nn)?输入y回车,否则退出。Please select one da0:回车安装缺省安装在第一个盘。Do you want to co
14、ntinue(y/ny)?回车继续。,选择用于管理的网卡,并设置管理地址,剩下两块网卡则用于数据接口,执行shutdown r now重新启动计算机重启后,在网络中的一台工作站上,连接到管理地址,Web管理用户名admin,口令panabit。,配置数据接口,【注意】同一对线配置同一个网桥名称,网桥的内外网接口,请根据硬件接口标识,不能接反;如果接反,将直接影响策略效果和流量统计信息。上线前,需测试网桥是否正常,多路网桥,每一路都需要测试。简单的测试方法,将Panabit系统串接在笔记本电脑前上网,使用迅雷下载大文件,查看速度是否正常和迅雷是否被分析识别。测试正常后,即可正式上线测试。上线后,
15、系统先要保证网络的正常使用,不配置策略以纯桥方式进行流量分析,流量分析是逐步进行,初始时未知比例会很大并逐渐下降;通常24小时之后,各类流量比例才会趋于稳定,此时再根据流量分布比例,开始配置流量管理策略。策略设置好后的一周内,需要根据网络的实际运行情况和用户反馈状况做适当的调整直至恰当为止。,管理接口,流量管理,流量管理项是Panabit流控系统实现流控管理的策略管理控制中心,策略配置、策略生效时间调度都在此部分进行。在开始进行流量管理配置策略前,网桥带宽和内网IP统计两个选项需要设置,参照如下说明选择使用。,网桥带宽,网桥带宽是设定承载该链路的带宽最大值,对于策略中启用带宽预留、带宽保证时,
16、需要设置该值;对于策略中通常的允许、阻断、限速,忽略此值,系统缺省0值,即关闭上下行带宽预留、带宽保证功能,数据通道,Panabit 流控系统,带宽管理策略配置分三步骤完成:1、定义数据通道(分配带宽数值);2、编辑策略组(控制规则集合);3、定义策略调度表(策略生效)。如果仅配置允许、阻断策略,直接编辑策略组,仅2、3步骤即可。数据通道设置比较简单,主要设置数据通道带宽数值和匹配的通道路径,当设置带宽预留、带宽保证时,可以选择带宽所在路径;对于带宽限速,无所在路径选项。设置数据通道的目的,是在策略组配置规则时作为执行动作使用,缺省的执行动作仅阻断和允许两项,一旦配置了数据通道,通道名称将加入
17、执行动作选项,从而实现划分数据通道的目的。在自定义通道名称时,注意通道名称便于理解。数据通道配置界面和示例如下:,以上数据通道名称,在接下来的策略组添加规则配置界面中,下拉“执行动作”选项,将出现新增加的数据通道名称,即数据通道是为策略配置先行设置的动作。通道表示为带宽数值,一个已经定义的数据通道,在规则配置中可以灵活使用,可以表示上行、下行、双向、协议总和、网桥总和,即数据通道可以共用。关于带宽预留、带宽保证通道:带宽预留对于预留的对象,最大可以使用预留带宽。带宽保证对于保证对象,至少保证的带宽,系统带宽空闲,还可以借用,“带宽控制”、“带宽预留”、“带宽保证”,Panabit同时提供基于应
18、用或基于IP的“带宽控制”、“带宽预留”、“带宽保证”三种机制,为用户灵活调控网络带宽资源提供更方便的功能。在精确识别应用协议的前提下,Panabit提供以下三种带宽调控机制:(1)带宽限制:根据策略对特定IP/IP组、应用协议进行带宽限制,避免这些IP/IP组、应用协议过度使用带宽而影响他人和整个网络。特别地,Panabit支持针对“未知协议”的带宽限制功能,可将未识别或尚未支持的协议流量或异常流量控制在一定的范围内。(2)带宽预留:预留出一定的带宽给特定的IP/IP组或应用协议使用。比如:假设网络出口的总带宽为100M,如果为某些IP、IP网段、应用协议预留了10M带宽,那么其他所有IP、
19、应用协议可使用的总带宽即为90M。预留出的10M带宽始终属于规定的IP、IP网段、应用协议所有,其他任何IP、应用协议无论如何都不能占用。,(3)带宽保证:带宽保证与带宽预留类似。所不同的是,带宽保证在其保证的带宽不能满足要求的时候,会从剩余的总带宽里借用所需带宽。以上面(2)中提到例子为例,如果做一条带宽保证策略,分配10M带宽给某IP组,那么当某个时刻该IP组所需要的带宽大于10M,比如15M,那么Panabit就会从其余的90M带宽中借出5M给该IP组以满足其使用。对于运营商,在P2P应用已成潮流的现实背景下,运营商已不单纯着眼于如何控制P2P流量来控制带宽成本和运营压力,而是逐步寻求通
20、过P2P增值运营来实现收益。在很多地方,运营商自主开办的IPTV同样也是依赖于P2P技术,那么对于运营商来说,能对该IPTV进行带宽预留或带宽保证就更具现实意义;对于企业,是否可以以及如何优先保障关键业务、关键科室、关键IP的带宽使用是他们首要关注的功能点,而精细的统计分析报表对于网络管理人员更具有策略上的指导意义;对于特殊行业(比如网吧),盈利主要来自于网络游戏与QQ视频聊天等消遣娱乐型应用,对这些盈利性的应用进行带宽保证,同时对大量占用带宽的P2P下载进行带宽限制,限制与保证结合,可大幅度提升网络的整体性能和用户满意度。,Panabit的带宽管理灵活性在具体使用中体现在两个方面:(1)数据通道:定义带宽管理和调度方式。上面所说的带宽限制、带宽预留和带宽保证就是三种不同类型的带宽对象。系统根据带宽类型和带宽的大小系统地对带宽进行分配和调度。(2)策略:策略是用来将流量进行分类的机制。Panabit里所定义的每一条策略可以包含源地址、目标地址、数据流向(上行还是下行)、应用协议等因素。当匹配这些因素后,就会执行某个动作,如阻断、放行或将其注入某个数据通道。通过将符合这些条件的数据注入通道,实际上就已经对符合上述条件的数据包实施了流量管理。,
