Linux操作系统实用技术 第十六课 基于Linux的应用软件河北经贸大学 王春海基于FreeBSD的流量控制软件 Panabit是基于FreeBSD Linux操作系统开发的 应用层流量管理系统，特别针对P2P应用的 识别与控制进行开发 其标准版可以免费使用，限制并发连接256 个IP地址 Panabit是目前国内开放度最高、免费、专 业的应用层流量管理系统，特别针对P2P应 用的识别与控制，截止2009年10月25日， 已经支持实际主流应用360种以上，并以两 周更新一次特征库的速度持续更新(包括已 支持协议和新增协议两方面的更新， Panabit已识别协议列表请关注Panabit网站 首页“支持协议“)。Panabit在精确识别协议 即对应用分类的基础上，根据用户自定义 策略，提供灵活方便的流量管理机制：带 宽限速、带宽保证、带宽预留，并可基于 协议/协议组、IP/IP组进行参数化的策略设 置。 Panabit流控系统定位于网络设备级OS，需 要安装在一立硬件中。Panabit发布的 标准版，都是最新研究成果和最新稳定版 本，无有效期等限制，完全可以满足DIY百 兆级专业流控设备。Panabit在网站公开发 布的第一个标准版是Panabit V7.04，于 2007.04.30 Panabit官方网站发布。 Panabit流控引擎，基于稳定性坚如磐石的 FreeBSD开发，安装Panabit之前，需要先安 装好FreeBSD 操作系统；为了方便使用，自 Panabit V7.09起，同步发布Live CD版，使用 Live CD无需安装，直接光盘启动，Panabit 即全部运行在内存中。支持协议(2009.12.10更新) 1) HTTP协议：web视频(优酷，酷六，六间房，YouTube，土豆网， Hulu，Sohu视频，Sina视频，我乐网，腾讯宽频，i酷，凤凰网，CCTV 点播，Viewgood，其他Web视频)，HHTP下载(伪IE下载，HTTP分块传 输，其他下载)，Flash、Web音乐，HTTP代理，WWW。 2 ) 常用协议：电子邮件(SMTP，POP3，IMAP)，Telnet，FTP，DNS， DHCP，TFTP，SNMP，NFS，NTP，CVS，NETBIOS，Microsoft-DS， Remote-Sync，远程桌面，Socks4/5，UPNP，SYSLOG，DAYTIME， DECRPC，LDAP，360更新，Nod32更新，卡巴斯基更新，Windows更 新，NAT端口映射，ISA。3) P2P下载：BT系列协议(BitTorrent，BT扩展协议)，eDonkey，Poco，迅雷， Gnutella，Fasttrack，DirectConnect，AppleJuice，百度下吧，百宝，酷狗， Vagaa，Ares，Napster，Mute，iMesh，SoulSeek，WinMX，脱兔，PPGou，天 网Maze，搜娱，PP点点通，酷我音乐盒，RaySource，超级旋风，Flashget， 汉魅，P8，Foxy，aMule，顶悦视听盒。 4) 网络电视：PPStream，PPLive，沸点，乐酷，QQ直播，CCIPTV，TVAnts， TVKoo，PPMate，MySee，悠视TV，极速酷6，QVod，PPFilm，迅雷看看， SopCast，VJBase，JeBoo，风行，青娱乐，飞速土豆，BOBO，Netitv，新浪电 视直播，搜狐电视直播，iV影音加速器，乐鱼，暴风影音。 5 ) 即时通信：腾讯QQ(QQ聊天，QQ文件传输，QQ视频聊天， TecentMessager)，MSN(MSN聊天，MSN视频)，雅虎通，GoogleTalk，新浪UC ，新浪UT，AIM，IRC，网易泡泡，阿里旺旺，淘宝旺旺，Lava-Lava，飞信， 百度hi，Teamspeak，腾讯RTX。 6) 股票交易：钱龙系，大智慧，同花顺，大福星，富远行情，大有期货。 7) 流媒体：RTSP，RTMP，MMS，QuickTime，BBSee，WMPlayer，RealPlayer ，磊客，新浪奥运视频，网易奥运视频，QQ奥运视频，央视高清。 8 ) 网络电话：Skype，H.323，SIP，UUCall，ET263，MGCP，铁通飞线， Net2Phone，铁通RedVip，Vtalk，SIPhone。9 ) 网络游戏：第九城市(魔兽，奇迹世界，卓越之剑)，巨人网络(巨人，征途) ，蓝港在线(倚天剑和屠龙刀)，盛大网络(新英雄年代，传奇系列，盛大富翁 ，彩虹岛，龙骑士，风云，冒险岛，热血传奇，超级舞者，英雄连，诸侯， 生死格斗)，世纪天成(跑跑卡丁车)，天游集团(蒸汽幻想)，完美时空(完美世 界，武林外传2，神鬼传奇)，卓智时代(纵横时空)，天晴数码(机战/魔域，投 名状，征服，91开心游戏)，17game(热血江湖)，光宇在线(问道，希望，西游 Q记，神界，炫舞吧)，光通网络(神泣，数码宝贝)，腾讯游戏(QQ幻想，QQ三 国，QQ音速，地下城与勇士，QQ游戏)，中广网(武林群侠传)，网易游戏(泡 泡游戏，大话西游3，梦幻西游，大话西游2，大话西游外传)，金山游戏(水浒 Q传，反恐行动OL，春秋Q传，仙侣奇缘2)，新浪网游(新浪游戏，天龙八部) ，中国游戏中心，劲舞团，面对面，街舞，突袭，战火红警，联众世界，凤 舞天骄，功夫世界，海之乐章，新魔界，QQ飞车，QQ华夏，QQ炫舞，QQ自 由幻想，QQ寻仙，新飞飞，星际家园，生肖传说，霸王系列，勇气OL，超级 跑跑 ，冒险宝贝，X-乒乓， 乱武天下， 秦始皇， 穿越火线， 武易， 伊苏战 记， 众神之战，三国鼎立， 乱世枭雄，贸易街机，风雷游戏， 魔力宝贝， 浪漫传说， 浪漫庄园， 永恒之塔， 蜀山系列， 浩方对战平台， FIFA On Line ， 梦想世界， 弹头骑兵， 星尘传说， 同城游 ， 梦幻古龙 ，梦幻龙族，千年 ，热血英豪，热舞派对，反恐精英OL，露娜，街头篮球，名将，游戏人生， 妖怪A梦，宠物森林，风火之旅，刀剑，对战平台(掌门人，JJ比赛，GCC对战 平台，VS对战平台，宽带中国，远航游戏中心，豆客，多多视频(对战平台)， 边锋，175平台)，惊天动地。 10 ) 网络安全：SSH，HTTPS，L2TP，PPTP， IPSec，GRE，OpenVPN。 11) 数据库：MSSQL。 12) 其它：SYN_ACK，ICMP，IGMP，非IP3层 协议，其他4层协议，文件下载及视频，在 线交互式应用，IP分片，OSPF，BGP，ARP ，看天下，PPPOE，内网IP伪装，自定义协 议。Panabit技术特色 1) “节点跟踪技术”极大提高了系统性能。 2) “加密协议深度识别”保证对P2P识别的准确率，能识别加密协议。 3) “Panabit特征库”，用自主开发、描述能力强的“协议特征描述语言” PSDL(Protocol Signature Description Language)，使得维护协议特征库 方便并快速发布。 软件性能 配置适当的硬件，Panabit标准版保证100Mbps线速，专业版完全满足 处理双向4Gbps吞吐量。 软件安装环境 硬件：Intel x86平台，配置P3 800Mhz以上、256M内存以上、3块网卡 ，128M以上电子盘或硬盘均可。 操作系统：FreeBSD 6.2或以上(Panabit 2007仅支持FreeBSD 4.11)。配置管理 1) 安全的中文Web管理界面，可在网络的任何位 置灵活方便的进行配置管理。 2) 配置简单，界面简洁，轻松上手。 3) 特征库web界面升级，全功能Web管理与监控 。 其它 成熟的产品化解决方案，如支持硬件Lan Bypass， 避免单点故障，保障网络不间断运行；支持CF或 DOM电子盘安装介质；单套系统支持4路桥接 (inline)，策略分桥配置和流量分桥统计。Panabit支持两种接入和部署方案 (1)旁路监听 (2)透明网桥。透明网桥模式 Panabit以透明网桥方式部署在出口链路上 ，对出口链路上的双向流量进行协议分析 、统计，同时根据所设定的规则对流量进 行灵活的限制和分配。 为避免Panabit遭受扫描、攻击，网桥上无 需配置IP地址，用户可通过专门的管理端口 对Panabit进行配置管理。 典型的部署方式如下图所示：未安装Panabit前的网络拓扑结构安装Panabit后的网络拓扑结构 使用透明网桥模式接入，用户既可以统计 流量，又可以做访问控制和带宽管理。旁路监听模式 Panabit设备以旁路方式部署在交换机或路 由器旁，通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由 器的上下行端口的流量进行协议分析、统 计。 (旁路监听模式下，Panabit只能对流量做分 析统计，而不能做控制。) 典型的部署方式如下图所示： 采用监听模式接入，Panabit不会对现有网 络造成任何影响，典型的使用方式是用户 先采取监听模式采集网络的各种流量信息 ，然后根据网络实际情况制定相关访问控 制和带宽管理策略，最后以透明网桥或透 明网关模式将Panabit接入到网络中。创建实验环境 1、创建Red Hat Linux 5 64bit企业版，使用 256M内存、单CPU、3块网卡、IDE硬盘 2、使用panabit 7.02 CD镜像作为虚拟机光 驱，启动虚拟机光驱启动用root/root登录运行 ./setupDo you want to continue(y/nn)? 输入y回车，否则退出。 Please select one da0: 回车安装缺省安装在第一个盘。 Do you want to continue(y/ny)? 回车继续。选择用于管理的网卡，并设置管理地址剩下两块网卡则用于数据接口 执行shutdown r now重新启动计算机 重启后，在网络中的一台工作站上，连接 到管理地址 https:/192.168.1.33Web管理用户名admin，口令panabit。配置数据接口 【注意】同一对线配置同一个网桥名称 网桥的内外网接口，请根据硬件接口标识，不能接反 ；如果接反，将直接影响策略效果和流量统计信息。 上线前，需测试网桥是否正常，多路网桥，每一路都 需要测试。简单的测试方法，将Panabit系统串接在笔 记本电脑前上网，使用迅雷下载大文件，查看速度是 否正常和迅雷是否被分析识别。测试正常后，即可正 式上线测试。 上线后，系统先要保证网络的正常使用，不配置策略 以纯桥方式进行流量分析，流量分析是逐步进行，初 始时未知比例会很大并逐渐下降；通常24小时之后， 各类流量比例才会趋于稳定，此时再根据流量分布比 例，开始配置流量管理策略。策略设置好后的一周内 ，需要根据网络的实际运行情况和用户反馈状况做适 当的调整直至恰当为止。管理接口流量管理 流量管理项是Panabit流控系统实现流控管 理的策略管理控制中心，策略配置、策略 生效时间调度都在此部分进行。 在开始进行流量管理配置策略前，网桥带 宽和内网IP统计两个选项需要设置，参照如 下说明选择使用。网桥带宽 网桥带宽是设定承载该链路的带宽最大值 ，对于策略中启用带宽预留、带宽保证时 ，需要设置该值；对于策略中通常的允许 、阻断、限速，忽略此值，系统缺省0值， 即关闭上下行带宽预留、带宽保证功能数据通道 Panabit 流控系统，带宽管理策略配置分三步骤完成：1、 定义数据通道(分配带宽数值)； 2、编辑策略组(控制规则 集合)；3、定义策略调度表(策略生效)。如果仅配置允许 、阻断策略，直接编辑策略组，仅2、3步骤即可。 数据通道设置比较简单，主要设置数据通道带宽数值和匹 配的通道路径，当