使用Panabit打造低成本流量控制方案

现在很多企业的网络出口带宽越来越大，但员工实际感受的上网速度却越来越慢，为什么会出现这种问题呢？一个很大的原因就是缺乏有效的网络流量控制手段，网络视频与P2P软件占用了大量的带宽，导致企业一些正常的网络访问如网页浏览、邮件收发等受到影响。而传统的防火墙虽然也带有速度限制功能，但这些都是“绝对”的限速：不管是正常的网页浏览、邮件收发，还是视频在线观看或P2P下载，都会受到限制。

因为常规的网速限制模式不合理，所以现在的网络管理趋势是采用“应用层”过滤的产品，对网络的行为进行监控，将网络应用分层，在不同的时间进行不同的限制。例如在正常的工作时间，IT管理人员可以设定禁止或减小网络视频和P2P软件的速度，而在业余时间适当地加大网络视频和P2P软件的带宽，或者针对特殊用户进行特殊的定制等。不过，现在专业的流量控制系统通常采用1U的硬件，市场价多在5万～20万元之间，对于中小企业来说成本太高。而这些硬件流量监控系统，实际上也是采用计算机＋流量控制软件。因此，为了降低成本，我们也可以采用普通服务器安装免费流量控制软件的方式来打造低成本的流量控制解决方案。

Panabit是北京派网开发的基于FreeBSD Linux操作系统的“网络应用层”流量管理系统，特别针对P2P应用的识别与控制进行开发。其标准版可以免费使用，限制并发连接256个IP地址，无有效期限制，基本可以满足百兆级网络流量控制的需要，因此我们可以尝试用它来打造适合中小企业使用的流量控制解决方案。Panabit流量控制系统定位于网络设备级OS，需要安装在一台独立计算机中。我们在下文将介绍Panabit使用中的一些经验，包括安装、配置、升级等问题，以便帮助中小企业IT管理人员组建适合自己单位的流量控制系统。

Panabit体系结构

Panabit支持两种接入和部署方案：“旁路监听”与“透明网桥”模式，大多数用户使用后者。在“透明网桥”模式中，Panabit以透明网桥的方式部署在出口链路上，对出口链路上的双向流量进行协议分析、统计，同时根据所设定的规则对流量进行灵活的限制和分配。为避免Panabit遭受扫描、攻击，网桥上不需要配置IP地址，用户可通过专门的管理端口对Panabit进行配置管理。这是典型的部署方式(图1)。使用“透明网桥”模式接入，用户既可以统计流量，又可以做访问控制和带宽管理。

图1：Panabit的透明网桥模式

在“旁路监听”模式中，Panabit设备以旁路方式部署在交换机或路由器旁，通过交换机或路由器的“Port Mirror”(端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。在“旁路监听”模式下，Panabit只能对流量做分析统计，而不能进行控制。

Panabit流量控制服务器搭建

服务器与磁盘选择

中小企业用户采用Panabit自建流量控制服务器，对于服务器没有太高要求，Pentium Ⅲ 800MHz或以上、256MB内存或以上、三块网卡、256MB以上硬盘空间即可。唯一的要求就是稳定，尤其是网卡一定要稳定，推荐使用英特尔系列网卡。如果条件实在不具备，那么也可以使用比较常见的Realtek RTL8139等网卡。Panabit要求至少有三块网卡，其中一块网卡管理，其它每两块网卡组成一个“网桥”并“串联”进网络用来控制流量。一般的服务器只有两块集成网卡，这时我们可以添加至少一块网卡。

专家观点：对于预算比较紧张的小型企业来说，投资数万元在网络流量管理上是很难做出的决定，但是将限制的旧服务器进行增值利用确实喜闻乐见的。

Panabit安装

Panabit的标准版是免费软件，可以从Panabit网站下载live CD版(ISO镜像，大小只有10几MB)并刻录成光盘，用该光盘启动要安装Panabit的计算机，很快就可以安装完毕，安装步骤如下：

1.在出现Login后，使用用户名root、密码root登录(都是小写)。

2.登录之后，运行./setup启动安装(注意，在Setup前面有个斜线和英文的句点)。

3.在“Do you want to continue(y/n[n])？”提示后输入“y”，然后按回车键(如果按其它键，将退出安装程序)。出现“Please select one [da0]”提示后直接按回车键；在出现“Do you want to continue(y/n[y])？”提示后按回车键。

4.安装完成后，选择用来管理Panabit的网卡。Panabit安装程序会列出当前已经安装好驱动程序的网卡，选择其中一个用来管理(假设网卡名为em0、em1和em2)。在“Please choose one of above as your admin interface”后面键入一个想用来管理的网卡，例如em0，然后按回车键；之后设置管理地址、子网掩码与网关地址(假设为192.168.1.33)(图2)。

图2：选择管理接口网卡和设置管理地址

需要注意的是，此设置的地址要能被局域网段的其它计算机访问到，并且Panabit管理网卡连接到正确的交换机端口上。如果准备单独为Panabit设置一个管理地址并单独添加到一个VLAN中，那么需要将Panabit管理网卡连接相应的交换机端口上。

5.在安装完成后，执行“passwd”命令，修改root帐户的密码，然后执行“shutdown –r now”重新启动计算机，即完成Panabit流量控制服务器的准备工作。

专家观点：免费解决方案解除了小型企业做出选择的一大顾虑，决策者可以更轻松地做出建立测试环境的决定。至于是否能够达到预期效果，则是之后的事情了。

让Panabit开始工作

在准备好Panabit流量控制服务器之后，就可以进行与具体任务相关的初始设置了。IT管理人员可以通过网络从一台工作站上连接到管理地址(假设为https://192.168.1.33)，Web管理用户名“admin”、密码“panabit”(登录后可在“系统维护”界面修改这个密码)。登录后在“网络配置→数据接口”中，设置应用模式，如果是“流量控制”模式，则需要设置网桥并要设置网桥的接入位置，这是非常重要的一步(图3)。

 图3：数据接口

网桥是成对出现的，并且网桥的方向有出有进。许多初次使用Panabit的用户都会在此犯错误，所以我们给出了一下几个需要重点注意的地方。

1.如果Panabit计算机安装有三块网卡，其中一块网卡已经设置为管理网卡，则另外二块网卡只能组成一个网桥；如果Panabit计算机有五块网卡，一块设置为管理网卡，另外四块网卡每两块可以组成一个网桥，一共可以组成两个网桥。

2.Panabit可以支持四个网桥，当只有两块网卡组成一个网桥时，在“应用模式”中选择同一个网桥名称就行了，例如网桥1，或者网桥2、3、4，只要是同一个就可以。

3.注意网桥的方向。在选择了网桥的名称后，接到内网核心交换机上的网卡，在“接入位置”下拉列表中选择“接内网”，连接到路由器或防火墙的那块网卡，则选择“接外网”。如果分不清哪块网卡是接内网、外网的，那么随便从Panabit计算机上拔下一根网线，然后在Panabit管理界面按F5刷新，如果不能再次管理Panabit，则说明拔下的是管理Panabit的网线，如果断下的是内网或外网网线，则会在“网络配置→数据接口”右侧相应网卡位置显示“电缆被断开”的类似提示。

Panabit流量控制服务器配置好后，进入“监控统计”选项卡。当网桥的配置正确并且“内网”有计算机访问外网时，在“监控统计→整个系统”页面左下角的饼形图中，可以看到不同的颜色(图4)，这表示Panabit已经开始工作；如果一直是灰色，则表明Panabit没有工作，此时，内网的计算机也不能访问外网。当Panabit开始工作后，系统先要保证网络的正常使用，不配置策略以纯桥方式进行流量分析，流量分析是逐步进行的，初始时未知比例会很大并逐渐下降；通常24小时之后，各类流量比例才会趋于稳定，此时再根据流量分布比例配置流量管理策略。策略设置好后的一周内，需要根据网络的实际运行情况和用户反馈状况做适当的调整直至恰当为止。

图4：监控统计界面。如果要修改管理地址，可以在“网络配置→管理接口”中设置。

专家观点：中小企业的IT技术支持力量比较缺乏，而选择免费解决方案往往意味着除了定期的更新之外，难以获得方案提供商更多的免费技术支持，因此该解决方案是否简单易部署就显得至关重要了。

Panabit策略设置

虽然作为免费解决方案，Panabit的策略设置比较简单，但在使用时仍需要注意一些要点。

尽量优化设置

在限制内网计算机访问Internet时，好只限制“速度”，而不要限制并发连接数。在实际使用中，如果限制了并发连接数，即使给用户很高的网速，用户访问网络也很慢；但在不限制并发连接数的情况下，即使限制用户的网速，用户访问网络也非常快。对于这点，我们曾经做过一个测试。测试中某单位具有8Mb/s的出口带宽，长期稳定在线计算机有70～90台，在不限制内网计算机并发连接数的情况下，每个IP限制3000Kb/s的速度时，用户访问网络的速度很快。

除了常规的网速限制外，我们还可以为不同的时段设置不同的限速策略。假设某单位对外采用双线路(20Mb/s电信+20Mb/s网通)连接，内网约有150～180台计算机，那么可以采用如下设置策略(图5)：

图5：业余时间策略。业余时间主要带宽是P2P类下载与上传，其它协议使用很少。

1.工作时间允许“服务器”网段、某些IP地址不受速度限制，其它计算机“常用协议”双向3000Kb/s，迅雷、网络视频、BT、P2P下载4000kb/s、上传4000kb/s、其他所有协议2000Kb/s。

2.业余时间“服务器”网段不受限制、“常用协议”4000kb/s、“迅雷”等下载6000kb/s、上传8000kb/s、其它所有协议6000kb/s。

专家观点：解决方案是否提供了适用的功能是企业采用该方案的前提条件，但是要达到好的使用效果，则需要IT技术人员做出佳的设定。

及时升级系统及特征库

在使用Panabit做流量监控时(包括其它流量监控设备)，需要及时升级特征库，才能更好地捕获新的协议和新的应用。Panabit在这方面做得比较好，即使使用的是免费的版本，也可以很容易地获得升级特征库并且完成升级。下载和升级特征库的具体操作如下：

1.检查Panabit流量监控软件基于的FreeBSD本。我们可以在安装Panabit的计算机上，使用用户名root与密码root登录，在屏幕的第一行显示了FreeBSD的版本(假设FreeBSD的版本为8.0)。

2.登录Panabit的官方网站，在http://www.panabit.com/download/index.html下载基于FreeBSD 8.0的新Panabit安装包(不是LiveCD安装镜像)。不要下载其它FreeBSD版本的安装包，否则升级后，系统会不能使用。

3.登录到Panabit管理界面，在“系统维护”选项卡中，进入“系统升级→系统升级”，在右侧单击“浏览”按钮，浏览上一步下载到的安装程序，然后单击“上传升级包”按钮(图6)。

图6：上传升级包

上传完成后，在“系统升级→系统更新”中，单击“进行升级”链接。大约20多秒后，升级完成。

写在后

目前针对企业用户的网络行为控制管理产品(硬件、软件)比较多，但优秀产品大多价格较高，对于规模较小的小型企业来说可能难以承受。而免费软件虽然也有，但是大多限制较多、品质一般，相对来说Panabit是其中比较令人满意的一种解决方案，基本具备了稳定、可靠、功能较强大、容易掌握、上手快等特点。作为一款免费产品，小型企业用户只需要准备一台服务器甚至准备一台普通台式机，就可以将其“DIY”成一台准专业的网络流量控制设备。当然，从以往用户的反馈来看，使用普通台式机打造的Panabit流量控制系统稳定性一般，有可能因为硬件问题造成死机，所以我们还是建议用户采用更稳定可靠的专业服务器作为平台，即便配置偏低也没有关系。