网络应用层流量识别与管理控制介绍VIP专享VIP免费

前言panabit是国内著名的网络应用层流量识别与管理控制的厂商。Panabit提供标准版软件给大众免费使用，标准版允许最大IP地址数为256个，也就是一个网段，对于一些小型的网络也足够了。Panabit最大的特点就是支持大量的应用层协议识别，像迅雷、QQ、以及常见的游戏等，当然这些需要及时更新才能达到最好的识别效果。Panabit的工作原理Panabit最常见的用法，就是桥接方式，也叫做透明网桥方式，工作原理如下图示通过分析经过的数据包，判断数据包所属的应用层协议，并进行相应的动作（限速、拦截等）。官方网站http://www.panabit.com安装方法Panabit基于FreeBSD开发，安装时需要电脑有至少三块网卡，一块用来做管理接口，其他两块组成一个网桥。做成网桥的两块卡最好使用bypass卡，也就是Panabit系统坏了以后，两块网卡从物理上联通，保证数据的通过。官方推荐使用Intel的网卡，并且针对Intel的网卡做了专门的优化。安装方法这里不再多说，官方网站有详细的教程。这里只提供LiveCD的下载地址http://www.panabit.com/download/，通过LiveCD来安装是最简单的方法了，官方网站改版后，很多人就找不到这个入口了这个LiveCD版本有些低，请安装后升级一下，以便支持“单IP限速”。使用方法概况进入Panabit的管理界面之后，会发现最顶上有五个菜单：网络配置、对象管理、策略管理、系统维护、监控统计。A.网络配置。网络配置的子菜单最少，主要有管理接口的配置和网桥的配置。如图，图中的配置也就是最常用的配置：B.对象管理对象管理主要是应用协议的管理，这个对大多数人来说，都不需要动。另外对相关管理中还有“HTTP对象”这个对文件类型和域名做群组，比如需要禁止用户访问youku、ku6、tudou等很多视频网站，可以在这里定义一个域名群组把N多的域名都加进去。最后还有一个IP群组，可以对IP地址进行分组，也比较实用。C.策略管理。这个才是Panabit的核心业务，对于流量的控制都是在这里进行的，这里拿流量控制举一个例子，首先需要定义一个策略组，设置相应的策略，然后在建立一个策略调度，并将策略进行时间调度。这就是设置操作的大体流程。后面会有详细的例子。D.系统维护。这个主要涉及系统版本升级、版本库的升级；管理账号密码服务器重启等，另外还有配置文件的导入导出，以及日志服务器的设置。E.监控统计。这个主要用来统计当前流量的信息等等。如图。实际操作案例安装好panabit，并且把网线连接好，进入管理界面，“网络配置”—》“数据接口”，配置好网桥，可以按照本文上面的图进行配置。A．禁止访问特定域名1.在“对象管理”–》“HTTP对象”—》“域名群组”中添加相应的域名群组名称和需要匹配的域名列表。2.在“策略管理”—》“HTTP管控”—》“策略组”中添加相应策略，指定目的域名为上一步中定义的域名群组名称，执行动作设置相应选项。3.在“策略管理”—》“HTTP管控”—》“策略调度”中添加相应时间段，并将上一步定义的策略按时间段进行调度。B．限制迅雷下载，限制网络游戏1.在“策略管理”—》“流量控制”—》“策略组”中添加相应策略，协议为“网络游戏”动作为“阻断”，一个策略组可以添加多个策略。2.在“策略管理”—》“流量控制”—》“策略调度”中添加相应时间段，并将上一步定义的策略按时间段进行调度。说明：禁止上QQ也是这么做的，但是由于QQ协议较复杂而且更新较快，如果要使用这项功能要及时升级特征版本库。C.单IP限速1.单IP限速在很多企业中是明确的规定，但是Panabit低版本的并不支持此项业务，现在最新版本“西汉R3”是支持的。2.在“策略管理”—》“流量控制”—》“策略组”中添加相应策略，单IP限速设置为1000bit/s(注意这里的单位)3.在“策略管理”—》“流量控制”—》“策略调度”中添加相应时间段，并将上一步定义的策略按时间段进行调度。D.设置p2p下载的带宽为300kbit/s(这里的带宽指的是总带宽，也就是整个网络所有P2P业务共享这300kbit/s的带宽)在这个案例中我们用到了“数据通道”的概念。无非就是定义一个通道，匹配上规则的数据包就扔进去。1.在“策略管理”—》“流量控制”—》“数据通道”中添加一个数据通道，宽带...