在“零投入用panabit享受万元流控设备——搭建篇”一文中我们为各位IT168读者介绍了如何通过panabit让一台老型号老配置的计算机发挥自身威力成为一台价值几万元的专业流量控制硬件设备。建立完毕的panabit设备可以实现对企业内网流量的管理与控制,通过限制非法流量最大限度的规划企业宝贵的带宽。今天就请各位跟随笔者继续深入了解panabit,让我们学习如何配置与管理用panabit模拟出来的万元流控设备。
一、panabit的网络定“位”
在流量管理控制操作之前我们首先需要明确安装了panabit的设备应该在网络结构中所处的位置,在部署时Panabit在企业交换机上联接口与路由器内网接口之间,这样企业内部所有上网流量都将通过panabit桥接到路由器并转发到互联网internet中。
二、panabit对流量的统计与查看
当我们部署panabit完毕后可以通过WEB管理界面看到“最近10分钟流量分布图”,“累计流量分布图”以及“当前连接分布图”等图表,通过这些图表我们可以清晰的了解到当前企业内网的网络应用类型,哪个网络服务占据主体一目了然。另外通过“监控统计”->“流量概况”->“整个系统”选项我们还可以查询各个协议组对应的连接情况,具体到哪个客户端占据该协议通讯的前几名,该客户端还应用了哪些网络服务等信息都可以通过点击协议组名称的方式详细查询。
三、应用协议的设置
我们在“对象管理”->“应用协议”下会看到panabit默认为我们提供的多种协议,包括HTTP协议,常用协议等,这里囊括了各种WEB视频,迅雷下载,FLASH浏览,HTTP代理,电子邮件,文件传输,软件终端,WWW访问,股票软件等等上百种常见协议,凡是这里出现的协议我们都可以通过panabit的策略管理对其进行限速,限流,阻止通讯,容许访问等操作。
四、系统参数的设置
除了上文中提到过的针对“网络配置”->“数据接口”进行配置,指定内网,外网接口以及桥接类别外,我们还需要在首次登录panabit后通过“系统维护”->“系统管理”针对panabit的时间和访问密码进行修改,针对时间的修改是非常重要的,因为很多策略管理都是基于时间段来完成的,如果Panabit自身时间就是错误的那么再怎么限制流量也都是有问题的。在“系统管理”->“系统时间”下针对panabit的时间做设置,同时在右上角我们可以看到该panabit启动的时间——系统已连续运行X天X小时X分XX秒。
在“系统维护”->“系统管理”->“密码修改”处是针对panabit图形化界面登录密码进行修改,输入的密码不能包含空格,通过修改密码可以大大提高Panabit自身的安全,毕竟默认用户名和密码是众人皆知的秘密。点“提交按钮”后新配置生效。
五、群组与协议组的规划
我们可以利用Panabit的群组功能针对企业内网不同IP地址分配不同的访问权限,例如容许办公室计算机访问土豆网,但是禁止机房计算机访问该网站,这些操作都是针对IP群组进行分配的。我们可以通过“对象管理”->“其他对象”->“IP群组”对内网IP地址段进行划分,从而实现分段管理分段控制的目的。
点“创建群组”按钮后输入一个名称,然后填写“起始地址”与“结束地址”即可。
当然Panabit还支持自定义协议组,通过自定义协议组的功能我们可以将多个协议放到一起,从而为日后的统一管理提供方便,例如建立“迅雷协议组”,然后将BT下载,电驴传输,脱兔,迅雷等多个协议到进来,这样日后要封锁类似P2P下载时只需要添加一个“迅雷协议组”即可。
六、有效设置上下行带宽
每个企业网络的带宽都是不同的,当我们对流量做限制和管理时一般都是按照带宽的百分比或者直接输入传输速度来决定的,如果按照带宽百分比进行配置的话就一定要对企业网络的上下行带宽做设置,具体操作在“策略管理”->“参数配置”->“网桥带宽”处,我们选择“网桥”然后设置上行带宽与下行带宽即可,一切都根据企业实际情况填写,填0时将自动关闭上下行带宽预刘与保证功能。
另外为了更好的针对内网各个IP地址的流量进行统计,我们可以打开内网IP统计功能,在“策略管理”->“参数配置”->“内网IP统计”处选择“打开”内网IP流量统计功能并设置最大空闲时间。
七、服务管理限制功略
最后我们进入到panabit的核心!以上种种操作都是为这个核心设置所服务的,通过本环节我们将实现对内网流量的高效管理。在服务管理限制环节我们一般分为三个步骤。
(1)数据通道的添加:
第一个步骤是针对数据通道进行添加,所谓数据通道就是指针对带宽的管理。包括带宽限制,带宽预留以及带宽保证。带宽限制就是指该服务的流量不可能超过设置值,带宽预留是指该服务的流量至少要到达这个值,带宽保证也是达到这个最低保证速度值的效果。输入带宽时的单位是Kbit/s。
数据通道的设置主要是针对某服务做限流限速来添加的,如果我们希望在数据包操作时只保留丢弃阻止和容许通过两种情况,那么完全可以跳过数据通道添加设置环节直接进入下一个步骤。
(2)策略组的添加:
所有针对服务和网络应用的限制都是通过添加策略组完成,我们在“策略管理”->“流量控制”->“策略组”中点“添加”按钮后建立一个策略组,然后点“添加策略”按钮为该策略组增加过滤条目。依次输入策略标识(起到策略排序的作用),选择应用策略组的内网地址和外网地址,这里可以设置任意地址也可以手工输入具体IP地址段,如果提前建立了IP群组的话也可以通过下拉菜单选择已经建立的IP群组。
接下来是针对策略组的应用协议进行配置,点“选择协议”按钮后会弹出一个设置窗口,在这里我们手工选择协议组或单个网络协议即可,例如我们要针对“土豆网”这些协议进行限制的话只需要选择对应选项即可。
之后在动作/通道处通过下拉菜单选择是容许,阻断还是限制到某个速度,之前建立的数据通道将直接限制在此下拉菜单中。下面我们假设要禁止对土豆网的访问,那么直接设置为“阻止”即可。
至此策略组已经顺利建立,当然一个策略组是支持多个策略的,我们只需要依次添加即可,最多可以添加65000多个策略,足够我们日常使用。
(3)策略调度的添加:
策略组添加完毕后还不能够马上起作用,我们还需要在策略调度中进行设置,添加该策略组应用的时间段。我们通过“策略管理”->“流量控制”->“策略调度”中的添加策略调度来设置一个时间段。例如要求每周一到周日零点到24点应用,那么只需要建立时段编号并在策略组下拉菜单选择第二步建立的策略组,这样在该时间段就会自动应用之前建立的“流量控制”策略组对内网流量进行优化。
添加完毕后我们在策略调度界面可以看到时段列表条目的存在,当然如果我们想所有时间段都应用同一个策略的话,我们还可以通过缺省策略组功能来实现,在上方缺省策略组下拉菜单中选择适当的策略组,然后点右边的“修改缺省策略”按钮即可,这样只要没有明确策略调度时间段的时候都将自动应用缺省策略组应用对内网流量进行过滤和控制。
八、查看过滤效果
正如上文所说我们建立了一个禁止访问土豆网的策略组并应用于任何时间段,那么如何查看他是否生效呢?一方面我们可以在内网任意主机上访问土豆网,我们将会发现在线视频已经无法播放了,界面始终停留在等待连接处。同时在Panabit图形化管理界面的“监控统计”->“当前策略”->“流量控制”中我们可以看到当前运行的策略组的过滤条目,同时在数据包列中可以看到已经被禁止的数据包数量。
如果在实际使用与管理过程中“数据包”列的数据包数量在不断增加就说明该策略已经顺利生效,相关对土豆网在线视频的访问已经被禁止。
九、配置的导出与导入
由于我们使用的是livecd方式来搭建panabit系统,所以一旦断电或设备重新启动所有配置都将荡然无存,因此我们就需要在配置完毕后将当前的各个参数设置妥善保存,在日后断电重新启动后再快速导入进行恢复。具体操作是在“系统维护”->“配置管理”->“配置导出”下完成,点击鼠标右键选择“目标另存为”即可。
日后导入配置时直接选择“系统维护”->“配置管理”->“配置导入”,然后通过“浏览”按钮找到刚刚导出的current.conf文件,点上传配置文件。
仅仅上传完配置文件还不够,我们还需要点“导入上传的配置文件”按钮,这样才是真正的将配置文件写入panabit配置信息中,导入过程会中断网络几秒钟,同时在panabit的console界面可以看到各个参数的快速生效。
十、总结
通过本文介绍的多个步骤我们就可以通过panabit顺利高效的管理内网各个相关应用与服务,对非法流量进行隔离或限速,对有用的合法流量进行必要的速度保障。当然panabit是一个非常强大的流量控制软件,本文由于篇幅关系只介绍了些皮毛的东西,希望能够起到抛砖引玉的效果,让更多的IT168读者学会使用这款强大且免费的流量管理控制软件。