1、(1) Panabit簡明配置手冊Web管理界面登陸Web界面：s:/192.168.1.100(IP地址是登陸Web界面前，在FreeBSD系統(tǒng)臨時設(shè)置的IP地址)使用ifconfig命令不加參數(shù)，即可查看系統(tǒng)識別的網(wǎng)卡設(shè)備名稱和激活連線狀態(tài)，找到連上網(wǎng)線Active的網(wǎng)卡，使用ifconfigfxp0192.168.1.200臨時指定IP地址(此列fxp0是第一塊intel網(wǎng)卡的設(shè)備名稱，F(xiàn)reeBSD下不同網(wǎng)卡的設(shè)備名稱不同，不同于Linux下以eth0、eth1這樣順序編號)。提示：Panabit不使用FreeBSD系統(tǒng)的網(wǎng)絡(luò)配置文件，通過命令行指定的IP地址僅臨時使用，啟動Panab

2、it時，根據(jù)Panabit系統(tǒng)的網(wǎng)絡(luò)配置文件初始化，所以網(wǎng)絡(luò)設(shè)置須通過登陸Web管理界面進(jìn)展設(shè)置并提交后才會永久有效。Web界面缺省用戶名、密碼：用戶名：admin密碼：panabit配置管理Panabit配置管理分為三個局部：網(wǎng)絡(luò)設(shè)置、系統(tǒng)參數(shù)、策略管理，其中主要的是策略管理。(1)網(wǎng)絡(luò)設(shè)置：工作模式與IP地址：示例：如如下圖所示，em0與em1構(gòu)成網(wǎng)橋，分別連接外網(wǎng)與內(nèi)網(wǎng)；em2做為管理口配置管理IP。如需工作在監(jiān)聽模式，只需點擊對應(yīng)網(wǎng)卡的配置"選擇監(jiān)聽模式"并輸入IP即可1搭口宅牌應(yīng)用棵式持人僚宵則堵掩碼妹作1»|110正零ES»nil網(wǎng)理詢程內(nèi)柄

3、正雷21914Er«.r2552552WCES缺省網(wǎng)關(guān)：輸入缺省網(wǎng)關(guān)，提交即可。注：系統(tǒng)工作在網(wǎng)橋模式時，輸入缺省網(wǎng)關(guān)的意義在于：對于那些加密的P2P協(xié)議，必須保證Panabit自身可以訪問到外網(wǎng)，主動探測引擎才可正常工作，否如此這些加密協(xié)議將有可能被識別為未知應(yīng)用。(2)系統(tǒng)參數(shù)：內(nèi)網(wǎng)IP統(tǒng)計：ARirABttdfMftriEl娜5曲HIISMMJ選擇是否打開內(nèi)網(wǎng)IP流量統(tǒng)計功能，并設(shè)置內(nèi)網(wǎng)IP最大空閑時間規(guī)定時間內(nèi)無任何流量動作的空閑IP將被系統(tǒng)自動從統(tǒng)計庫中刪除，提交。注：內(nèi)網(wǎng)IP流量統(tǒng)計功能是為中小企業(yè)用戶量身定做的一項特色功能。由于該功能會相應(yīng)的降低系統(tǒng)的一些性能，所以在運

4、營商與用戶數(shù)量龐大的網(wǎng)絡(luò)中，如需首要保證性能，如此建議關(guān)閉此功能。缺省狀態(tài)下，該功能為打開狀態(tài)。出口帶寬:(2) 指定網(wǎng)絡(luò)出口的上、下行帶寬，啟用帶寬預(yù)留和帶寬保證時，需要輸入此項，指明上下行最大帶寬，注意此處的單位是kbps。缺省值為0,即是關(guān)閉帶寬預(yù)留和帶寬保證功能狀態(tài)。策略管理：Panabit策略配置設(shè)計思路：Panabit策略配置管理系統(tǒng)中，設(shè)置策略并使之生效必須完成兩個步驟：創(chuàng)建并編輯策略組、創(chuàng)建策略計劃表。其中在編輯策略的動作選項中，缺省僅有允許、阻斷兩個動作。如需執(zhí)行其他動作如帶寬限速、帶寬保證、帶寬預(yù)留，如此需要先行創(chuàng)建數(shù)據(jù)通道，在通道類型"中選擇相應(yīng)的動作類型，創(chuàng)建

5、數(shù)據(jù)通道完畢后，在編輯策略時，數(shù)據(jù)通道名將出現(xiàn)在動作選項中，即可在動作選項中選擇已定義的數(shù)據(jù)通道，設(shè)定不同類型的詳細(xì)策略。策略組配置完成，僅表示預(yù)配置了策略，需要加載至策略計劃表，才生效。具體示例請參看以下步驟：1)創(chuàng)建并編輯策略組：注：策略組包括通道管理"與策略管理"兩局部，需分別創(chuàng)建；策略設(shè)置時的處理動作選項將引用具體的數(shù)據(jù)通道"。第一步：點擊策略組"-添加策略組"，如如下圖所示：創(chuàng)建一個名為worktime的策略組。提交。wtrhVLM|M|疑嗨竹睇鎰嚀知海加第二步：點擊編輯"鍵，對worktime策略組進(jìn)展具體編輯。KIM印用

6、I*湖fWtfp曹q眺訪waQfitam*MM第三步：創(chuàng)建數(shù)據(jù)通道。先后點擊通道管理"-添加數(shù)據(jù)通道"，如如下圖所示:K.mftBMttw<irw如上圖所示：假設(shè)欲針對P2P協(xié)議做下行方向的速率限制規(guī)如此，如此先定義一個數(shù)據(jù)通道：名為p2p,通道類型選擇帶寬限制"，通道方向選擇下行"，在通道帶寬"中輸入相應(yīng)的數(shù)值，本例設(shè)置為800,注意單位為kbits/s,提交。結(jié)果如如下圖所示：至此數(shù)據(jù)通道創(chuàng)建完成，然后開始設(shè)置具體的策略。第四步：創(chuàng)建并編輯具體策略。先后點擊策略管理"-添加策略"：假設(shè)要做一條規(guī)如此：限制內(nèi)網(wǎng)192

7、.168.1.0/24網(wǎng)段P2P協(xié)議下行速率為800kbits/s,如此創(chuàng)建規(guī)如此過程如如下圖所示：KRfttiT*撤扁珀1A洎加或明堡mrhtifararc如上圖所示：指定規(guī)如此序號101-65536任意，系統(tǒng)將按照序號小的優(yōu)先匹配，所以每條規(guī)如此之間最好不要連續(xù)，這樣方便隨時插入新規(guī)如此，比如創(chuàng)建3條規(guī)如此，序號分別為10、20、30,如臨時有需要，可以參加序號為15的規(guī)如此，系統(tǒng)將自動將其插入規(guī)如此10、20之間，數(shù)據(jù)流向選擇下行"，分別指定源、目的地址，應(yīng)用協(xié)議選擇“P2P下載"，執(zhí)行動作選擇“p2p此p2p即為剛剛創(chuàng)建的限速800kbits/s的數(shù)據(jù)通道，在此作為

8、具體的動作選項被引用，內(nèi)網(wǎng)單IP限速0,動作過后停止匹配"，提交。停止匹配的意思是指一旦匹配該規(guī)如此，如此所有被識別為“P2PT載”下行流量的數(shù)據(jù)包將直接根據(jù)該規(guī)如此進(jìn)展限速為800kbits/s的處理，而不再繼續(xù)往下匹配其他規(guī)如此。而不符合該策略定義的其他協(xié)議的數(shù)據(jù)包將不受限制并且通過該條策略繼續(xù)匹配后面的策略直至被匹配規(guī)如此創(chuàng)建成功后，如如下圖所示：配野度iijh?誼STif/itPit>19?O1200P!?PT«注：此時數(shù)據(jù)通道與策略均設(shè)置完成，注意點擊上圖中藍(lán)色局部讓所有修改生效"。每次創(chuàng)建或修改數(shù)據(jù)通道與策略時務(wù)必執(zhí)行此步驟！寫入系統(tǒng)并可以被執(zhí)行

9、的策略如如下圖所示：至此，策略局部創(chuàng)建并編輯完成，但策略并未即時生效，還需定義策略計劃表"。2）創(chuàng)建策略計劃表：系統(tǒng)按周執(zhí)行策略計劃，分別指定每天的策略執(zhí)行時間。如如下圖所示：周一至周五上班時間早8:00-晚18:00執(zhí)行worktime策略組，周六周日執(zhí)行空策略組，不做任何限制。雀略管W畤il«叩時看買罹nH岐w握垢行明-略爆性貴等髯場的#3W天質(zhì)土弭.尚峭節(jié)耶日外土冊行UW例rtts值，*«d«rrrwHS+jitnwvtaVHitaUM策峭41MJMdCHJ尾眼oa«h(MDIGMKMdOOxir；»«M)0rns里J

10、tt-1nhimkltow癡ildm1SMD0n«|ftiirMww垠-|o市wT注：不同策略組可匹配不同的執(zhí)行時間，也可以預(yù)先設(shè)置節(jié)日執(zhí)行策略五一、國慶、春節(jié)等。經(jīng)過以上編輯策略組與編輯策略計劃表，此時系統(tǒng)即開始按策略計劃表定義的時間執(zhí)行具體的策略。檢驗當(dāng)前時間點策略是否生效的方法如下：點擊監(jiān)控統(tǒng)計”-系統(tǒng)概況”-當(dāng)前策略"只有當(dāng)前策略正確顯示，才明確所做的策略組已正常工作,否如此請返回策略組與策略計劃表兩處仔細(xì)檢查確認(rèn)，如如下圖所示：當(dāng)系統(tǒng)運行中有流量匹配該策略時，通道行右端的流量丟棄/通過下方的數(shù)值將實時變化，比如3456/7788，表示有7788個數(shù)據(jù)包被判斷為P2

11、P下載協(xié)議類的下行流量，在192.168.1.0/24網(wǎng)段內(nèi)所有正在使用的P2P應(yīng)用下行流量達(dá)到策略定義的限速800kbits/s的速率上限后，共有3456個數(shù)據(jù)包被丟棄。同理：策略行右端的數(shù)據(jù)包"數(shù)值變化與其一樣。附錄：一、企業(yè)中常用的策略設(shè)置需求示X:1、假設(shè)要限制內(nèi)網(wǎng)某個用戶的最大下行總帶寬為512k,同時要限制他在使用P2P應(yīng)用時的最大下行總帶寬為100k,這樣的好處是使該用戶在使用P2P下載的同時還有足夠的帶寬可用，不會影響到其他正常的網(wǎng)絡(luò)應(yīng)用。對于上述情形，可以通過以下規(guī)如此實現(xiàn)：（假設(shè)其IP為192.168.1.100）,10any->192.168.1.100任

12、意協(xié)議允許單IP限速512繼續(xù)匹配20any->192.168.1.100p2p下載允許單IP限速100停止匹配規(guī)如此創(chuàng)建過程如下三個圖表所示：圖一：定義192.168.1.100下行可用總帶寬為512kb，注意動作過后"選擇繼續(xù)匹配"，否如此系統(tǒng)將不會執(zhí)行下一條限制其P2P下行可用帶寬為100kb的策略。waxJUF-OH式IJEEMl111MMLIOOqua-khmhwicm丸許*1Mt寶章5圖二：定義192.168.1.100在使用P2P下載類軟件時，P2P下行流量的可用帶寬最大"為100kb。注意:如果對于192.168.1.100，還有其他規(guī)如此適

13、用，如此動作過后"選擇繼續(xù)匹配"，否如此選擇停止匹配"，以提高系統(tǒng)的處理效率。同時注意要根據(jù)數(shù)據(jù)流向是上行還是下行正確區(qū)分并指定源地址、目的地址。（在Panabit系統(tǒng)中，全行"指用戶端到外網(wǎng)，下行"指外網(wǎng)到用戶端。）rvi«9f片川出黃smuyKltSil"KBttcr暮畸叫，率mv查一m翩布再搟魏略*內(nèi)1幽計mimBWft%IMM內(nèi)整驢/少er.mxAic不蟹豪:干耳I*1Htiti1岐IIS3兩條規(guī)如此設(shè)置完并讓所有修改生效"后，結(jié)果如下：注：隨后還需設(shè)置好策略計劃表"，針對192.168.1.10

14、0的這兩條規(guī)如此才會開始生效。kl機(jī)fa-LJdI.LXJSiiAJ.AhXJ»HBJ-Ji.京眥鼻廉-irLJ演碩iPWii切歐irtrtiPStitarrj->i521661.IU0551小硒OnftnAry卜l安.1舶l(fā).tOOP2PT««u賊同理：a、將上述兩規(guī)如此中的192.168.1.100替換成網(wǎng)段192.168.1.0/24，如此變成對網(wǎng)段內(nèi)所有IP:每IP的下行總帶寬512kb，其中使用P2P下載軟件時下行帶寬最大可用100kb，非P2P下載的其他應(yīng)用的下行帶寬至少可用412kb;b、如欲對網(wǎng)絡(luò)中的個別或少數(shù)IP如特權(quán)用戶、VIP用戶的下行

15、帶寬不做限制，比如192.168.1.99,僅對除VIP用戶外的其他IP做限制，如此將其放在第一條策略中即可，注意內(nèi)網(wǎng)單IP限速"項填0,0表示不限速，并且動作過后停止匹配"，該策略的設(shè)置如如下圖所示：二、對迅雷進(jìn)展準(zhǔn)確限速的策略設(shè)置：目前，迅雷在通訊時共使用4種協(xié)議進(jìn)展數(shù)據(jù)傳輸：迅雷、脫兔、分塊傳輸、偽IE下載，所以設(shè)置策略時要針對這4種協(xié)議進(jìn)展控制，下面的截圖是一個示例：策略生效時的截圖，可看出具體的策略設(shè)置和生效后的匹配狀況：本例中對內(nèi)網(wǎng)每個IP設(shè)定下行可用總帶寬為512kb，然后將迅雷的下載速度限制在40kb/s,即5kB/s,規(guī)如此生效后在"當(dāng)前策略”下

16、截圖如下：H段統(tǒng)諾薰理反汽舶!M的：tailMftitMnrt維星向中宣像袱幕Ji：（既鼻號iij|降省曲fli施PftlX.祝機(jī):-ir內(nèi)wdc忡lIDTrfJwsi?WJQTH撕事止3QTftrfflPfr燃Wtl-Mffll73taTfilet碑1L10SOF?群it0注意:1.限速迅雷相關(guān)的策略為20、30、40、50四條。2.10規(guī)如此動作過后要選擇”繼續(xù)匹配”，否如此下面的限速迅雷的規(guī)如此一條都不會匹配，也不會生效。1. 要對迅雷做準(zhǔn)確的限速，最好的方法是先阻斷迅雷協(xié)議，然后對分塊傳輸、偽IE下載、脫兔三種協(xié)議進(jìn)展控制。本例中將迅雷和脫兔阻斷掉，然后對分塊傳輸，偽IE下載分別限速20Kbits/s,規(guī)如此生效后效果非常理想。三、關(guān)于帶寬管理的三種機(jī)制:帶寬管理機(jī)制包括:帶寬限制"、帶寬預(yù)留"、帶寬保證"。各機(jī)制簡單的描述如下:帶寬限制-將某IP/IP帶寬預(yù)留-為某帶寬保證-為某IP/IPIP/IP組、協(xié)議/協(xié)議組的可用帶寬限制在某個數(shù)值，即組、協(xié)議/協(xié)議組預(yù)先保存出某個數(shù)值的可用帶寬,組、協(xié)議/協(xié)議組的可用帶寬設(shè)置某個保證值，即最高可用到多少"。即木管怎么樣，就是那么多"至少可用到多少"。舉例如下：假設(shè)某單位出口帶寬為10M,為VIP/關(guān)鍵業(yè)務(wù)如視頻會議單獨劃分"出a、如果這2M帶寬在數(shù)據(jù)