Panabit_流控引擎官方网站

2. Panabit的特色和优势是什么？
答：Panabit立志做国内最专业的协议分析与流量控制引擎，一个鲜明的特色就是具备一个非常高效的分析引擎，协议识别的精度高、协议更新的速度快。特别是对业内几个难点协议如迅雷、eMule、skype的识别和控制方面，均处于国内领先地位。同时做为一款国产软件，Panabit最大的优势就在于对国内特有的、流行的各类本地化协议的支持与更新速度是国外同类软件所不能比的。比如迅雷、百度下吧、脱兔、腾讯超级旋风，比如QQ、网易泡泡、新浪UC、淘宝旺旺，再比如诛仙、征途、大话西游、新浪iGame以及大智慧、同花顺股票软件等等。(特别地，对于具体协议识别方面的问题，只要用户提供软件名称及版本号，Panabit就可以很快处理并将其加入协议特征库发布给用户，整个过程通常不超过2-3天。)

3.Panabit软件下载包的大小仅1.0M，功能有那么强大吗？
答：目前Panabit发布的版本是基于经典、高效、稳定的FreeBSD4.11开发，在累计近3年的研发、测试与技术积累过程中，充分完善并吸收了来自国内外主流厂商、用户的长处与建议，历经两次重大的软件架构调整，最终形成了今天精致高效的Panabit。而大家也知道FreeBSD是第一个内核集成TCP/IP协议、内核支持网络的操作系统，具有很高的性能和稳定性，为了继承和保持FreeBSD内核处理网络的优势，在开发Panabit引擎过程中，更是充分利用该特性，所以Panabit核心代码量虽然相对较少。但由于程序设计的相对完美，功能却非常强大。

4.Panabit安装到服务器中，怎么部署使用呢？
答：Panabit是集流量采集、应用分析、带宽管理于一体的服务器软件系统，只需安装在一台合适的硬件平台中，就成为一个专业的网络设备，部署在网络出口或流量汇聚的地方即可。Panabit的部署模式分为两种：透明网桥模式、旁路监听模式。其中透明网桥模式可以同时统计分析并控制带宽流量，旁路监听模式则只能统计分析，而不能实现带宽控制。

5.Panabit的软件版本的策略构成？
答：根据应用对象的不同，Panabit分为标准版与专业版。标准版由Panabit免费对外发布，可基本满足百兆网络环境下小规模用户的正常使用需求；专业版主要面向更为关注高性能、高可用性及特色定制功能的关键用户。

6. Panabit标准版的硬件要求，我需要准备什么？
答： Panabit标准版的硬件要求：最低配置为CPU PIII 1G、256M内存，9G以上的硬盘即可。如果只需要工作在旁路监听模式，只需要1块网卡；如果需要工作在透明网桥模式，则需要两块100M网卡(推荐3块，一块可专门做为管理口)。软件要求： FreeBSD4.11。熟悉FreeBSD的用户可自行安装操作系统，然后再下载安装Panabit安装包，解压后按脚本提示即可完成安装。

7. 我对FreeBSD非常不熟悉，但是对Panabit很感兴趣，有什么好的办法可以让我直接使用？
答：您可以下载Panabit Live CD，刻成光盘后以光驱启动，Panabit即被释放并运行在内存中。只要您的硬件平台有2-3块网卡，即可以马上体验Panabit的功能。只要您不关机，系统可以一直运行下去。

8.目前很多应用层网络设备大都采用ASIC、NP架构，与它们对比， Panabit仍然基于X86平台运行的优势在哪里？
答：从本质上来说，网络设备主要解决两个问题：
(1) IO能力
(2) 数据包处理能力
ASIC和NP主要是解决IO能力，因此它们的包处理能力相对都会比较低一些。但是对于应用层协议识别之类的设备来说，数据包处理能力是非常重要的，因此ASIC和NP不合适，因为它们的优势在数据包的快速转发，而不是对数据包进行分析。

从另外一个方面看，现在的应用层出不穷（特别是各种P2P应用），因此要跟上步伐，就必须采用高度灵活的编程架构，而这方面X86恰恰是很好的选择。以往大家对X86诟病最多的地方是其IO能力很差，因为过去的X86网络IO基本上都是采用PCI，并且这些PCI总线通过南桥--〉北桥--〉FSB--〉CPU。由于PCI总线是共享式的，并且要经过南桥转发，因此其IO是很差的，这是过去X86的实际情况。然而PCIE技术的出现与流行拯救了X86，PCIE有很多是直接经由北桥接出来的并且是独占式的总线结构，因此其带宽非常大，一条通道的带宽是2Gbits/s(两个方向都是)，而4个通道就是每个方向8Gbits/s，现在做多有16通道的，这可以达到32Gbits/s(每个方向)，这是一个多么大的带宽处理能力！所以现在的X86架构，IO已经不是一个问题了，相反，现在的瓶颈出现在内存或CPU上。内存的瓶颈目前没有彻底解决，但是对于CPU，又出现了另外一种趋势：多核！现在4核CPU已经很常见，明年应该会成为主流。CPU能力是X86的强项，这是任何一个CPU所无法比拟的。就拿目前在各设备厂家用得比较多的多核MIPS　CPU而言：
(1)Cavium：最高款是一个16核的，每个核600Mhz，总的处理能力是9.6Ghz
(2)RMI：最高款是一个8核的，每个核1.2Ghz，总的处理能力也是9.6Ghz
而现在就是任意一款4核x86，其处理能力>8Ghz，双路的话就是16Ghz(现在双路主板太常见了)，试想想，哪个CPU处理能力更有优势？
所以当前形势下，一款网络设备性能的高低，问题的关键在于软件架构，而不在于硬件。在性价比远远高于ASIC、NP的X86平台上发挥同样甚至更强的高效能，这正是Panabit的优势！

9. Panabit发布的软件版本稳定性如何？
答： Panabit对外发布的每一个版本，都是在内部测试与定向用户测试一个时间段无问题后，才会最终对外发布，所以请放心使用。

10. 也许Panabit在协议识别能力上超过其他产品。但在带宽管理方面，有些产品可以通过限制并发连接数来控制流量，这一点上，Panabit的优势在哪里？
答：如果通过并发连接数来控制，并不一定能控制用户的流量，因为有可能某条连接的流量非常大，而且当用户使用P2P类软件比如BT的时候，可能会影响用户上网，因为BT会很快将所分配的连接数占满。 Panabit的优势在于：基于内容进行控制，这样更精确，也更符合用户的要求。同时Panabit也能够针对IP进行控制，而且是以像防火墙一样的策略的方式进行控制的，这样就非常灵活，因为策略里也可以同时匹配协议、IP地址等多种对象。

11. Panabit的配置管理复杂度如何？
答： Panabit采用加密的中文Web管理界面方式进行配置管理，界面设计简捷清晰，几乎不存在疑惑点，您几乎可以一看便知，非常容易上手。使用后的维护也很简单，日常主要是查看监控统计各项报表以及特征库升级。

12. Panabit是否可以升级？机制如何？
答：可以。从7.09版开始，Panabit已开放“特征库”升级机制。用户只需定期关注Panabit网站的“标准版特征库发布区”，将最新的特征库升级包下载到本机，通过Web管理界面上传并提交即可。

13. Panabit带宽管理的两种方式与三种机制？
答： Panabit带宽管理的两种方式：1. 基于应用协议； 2. 基于IP 。
三种机制：带宽限制、带宽保证、带宽预留。

14. 带宽限制、带宽保证与带宽预留的区别？
答：带宽限制 ---- 将某IP/IP组、协议/协议组的可用带宽限制在某个数值，即“卡着脖子用，最高那么多” 。
带宽预留 ---- 为某IP/IP组、协议/协议组预先保留出某个数值的可用带宽，即“用完用不完，就是那么多”。
带宽保证 ---- 为某IP/IP组、协议/协议组的可用带宽设置某个保证值，即“不够还能借，至少那么多”。

15. 如果我重新安装或升级新版本，原有的配置是否可以被保留？配置的具体目录是？
答：可以。从7.09版开始，Panabit安装时按安装脚本提示执行，缺省会自动生成三个目录: /usr/panabit、/usr/panalog、/usr/panaetc，分别用于Panabit系统驻留、日志记录、配置保存。所以重新安装时，预先保留panaetc目录，安装完毕在覆盖用其新目录即可。

16. Panabit支持FreeBSD6.2吗？
答：不能。目前Panabit只能运行在FreeBSD4.11上, 基于4.11的版本完善之后,我们会很快进行开始6.2平台的移植。

17. Panabit在版本更新与协议支持方面的速度如何？
答：版本更新方面：从2007年4月30日发布第一个版本V 7.04版至今，短短5个月的时间里，我们已经更新到V 7.09版，每一个版本都实实在在的增加了若干用户有实际需求的功能；协议支持方面：每个版本新增5-10种协议是Panabit始终坚持的一个原则，从V 7.04版支持50余种到现在V 7.09支持100余种，并且今后我们将以“协议特征库升级”的方式持续不断的补充Panabit支持的协议列表。

18. Panabit能够识别eMule和skype等加密协议吗？
答：能！大家知道，eMule从0.47c开始就使用加密协议来通信了，因此业内普遍流行的采用“匹配应用层协议特征”的方式来识别eMule的方法就失效了。而Panabit则可以100%识别这些流量，原因就是因为Panabit创新地综合使用了两种独有的协议识别技术：
(1)基于节点的有状态识别技术
(2)加密协议深度识别引擎
上述两项技术相结合不但可以保证对P2P加密协议的识别准确率，而且还可以从容应对其他即将加密的P2P协议。

19. Panabit与FREE的L7-filter有什么不同？
答：L7-filter是通过正则表达式来进行模式匹配以识别流量的，L7-filter提供的特征模式在很多情况下是不正确的。Panabit采用的方式与L7-filter有所不同。对于emule的模糊协议，我们有加密协议深度识别引擎，是可以识别的。

20.Panabit做为网桥模式工作时,系统的默认规则是允许还是拒绝？
答：是允许。同一般的防火墙的默认规则为拒绝不一样。原因是：Panabit工作在应用层，对于一个TCP连接，在其特征出现之前，SYN, ACK这些数据报需要被放过去。因此默认规则是允许而不是拒绝。

21. 我想限制某个用户的最大下行总带宽为512k,同时限制他在使用P2P时的最大下行总带宽为100k,以保证他既在使用P2P时仍然有足够的带宽来进行与工作相关的网络应用,策略该如何设置？
答：对于上述情形,可以通过以下规则实现:(假设其IP为192.168.1.100)
1 any --> 192.168.1.100 任意协议允许单IP限速512 继续匹配
2 any --> 192.168.1.100 P2P下载允许单IP限速100 继续匹配

22.关于迅雷1:为什么我设置了策略来对“P2P下载”类协议组进行限速,但迅雷还是很快？我该如何限制迅雷？
答：目前P2P技术的一个新的流行趋势是“伪装端口”+“协议复用”,而迅雷正是其中一个典型。在实际的应用中,迅雷一共会采用4种协议进行传输,分别是迅雷、HTTP分块传输、伪IE下载、脱兔。在Panabit应用分类中,HTTP分块传输和伪IE下载被划分为常用协议一类中,所以不论是单纯的对“迅雷”协议进行限速,还是对整个“P2P下载”类协议组进行限速,效果都不会很理想。

23. 关于迅雷2:Panabit能准确的对迅雷进行限速吗？如何设置策略？
答： Panabit完全能够对迅雷进行准确的限速。要对迅雷做准确的限速,策略设置方法为:先阻断迅雷协议,然后分别对HTTP分块传输、伪IE下载、脱兔三种协议进行限速，效果非常理想。

24.如何限制腾讯超级旋风？
答：同迅雷类似，腾讯超级旋风在实际应用中采用3种协议进行传输： HTTP分块传输、伪IE下载、QQ直播（QQLive）三种协议，所以其限制方法与迅雷一样，只要在策略中对这三种协议进行限速即可，需要特别注意的是“QQ直播”在“网络电视”类选项中。

25.我设置了数据通道，也设置了策略，但似乎不生效，为什么？
答：单纯设置好数据通道与策略之后，并不会自动生效，请确认您已创建好“策略计划表”。

26.在Web管理界面中，如何确定当前我设置的策略是否生效？
答：请依次点击： “监控统计”--- “系统概况”---- “当前策略”，如果当前您设置的策略已经生效，则您创建的数据通道和具体策略会正确显示在该页面，刷新该页面时“数据通道”与“策略”两大项右方匹配的数据包数会相应变化增加。

27. 我发现我的网络内的某种P2P协议比如电驴，几天前Panabit是可以阻断或限制的，但最近好象突然不行了？
答：排除您或者其他人是否修改过策略或策略计划表的可能后，通常就是因为电驴发布了新版本，网内的用户也随之更新了。您可以先做一番如下检查： 1.安装最新版本电驴，打开并开始下载任务；2.关闭其他任何可访问网络的应用程序；3.打开Panabit的Web管理界面，依次点击：“监控统计---“网络统计”---“协议统计”，刷新几次，看当前流量数值变化最快的是否是电驴或其他哪种、哪几种协议，然后修改策略对其进行控制。如果显示的结果是被识别为“未知协议”，则请通过论坛向我们提交问题，我们将尽快分析解决，您只需耐心等待Panabit新的特征库即可。

28. Panabit进行策略匹配时的顺序原则是什么？
答： Panabit进行策略匹配时采用序号小的优先匹配的原则，序号范围1-65536。

29. 如果我想临时插入一条策略，我该怎么办？
答：Panabit建议大家在设置策略时，序号尽量不要太接近，目的就是为了将来在调整策略时可以随时插入新的策略至合适的位置。比如设置策略时序号可以为10、20、30依此类推，如果需要在策略20之前加入一条新的策略，只需新建一条序号为11-19的策略并提交即可，系统将自动将该策略放入策略10与20之间，先于策略20进行匹配动作。

30. 我从Panabit V7.08升级到V7.09，请问我原来V7.08的配置文件拷贝到哪？
答：拷贝到/usr/panaetc目录下。

31. 想使用Panabit，但目前Panabit只支持到FreeBSD4.11，不知对Intel网卡的驱动支持怎样？
答：使用Panabit Live CD，内核里已经增加了对Intel较新网卡的驱动，所以目前主流硬件平台中的Intel网卡应该都可以支持。

32. 我的网络为双出口非对称路由模式，可能会出现请求从链路A出去但响应从链路B返回的情形，请问这样对Panabit的识别率是否有影响？
答：这样对识别率肯定有影响。Panabit要求：(1)连接建立的完整过程即请求、响应包都能够被Panabit监控到，(2)传输时协议的特征包能够被Panabit监控到。满足这两点，Panabit就可以准确识别。有很多其他厂商的软件忽略了(1)，但是这会增加误识别率，因此Panabit要求(1)也必须满足。

33. 编辑策略时，动作过后的两个选项：继续和停止是什么意思？
答：继续是指匹配该策略定义的ip或协议仍然还有其他并列关系的后续策略需要匹配，系统还需将该数据包向后匹配；停止的意思是指匹配该策略定义的ip或协议再无其他相关策略要匹配，一旦匹配该策略，系统即按照策略定义将该数据包直接进行限速或丢弃的处理，而不再继续向后匹配其他策略。

34. 编辑策略时，单IP限速是什么意思？
答：是指匹配该策略定义的ip或网段，在使用某种协议/协议组时，每个ip的最大可用带宽。

35. 我通过PPPOE上网，Panabit桥接在内网机器与宽带路由器之间，Panabit好象既识别不了流量也控制不了P2P，为什么？怎么解决？
答： Panabit不支持PPPOE协议。解决办法是：将Panabit桥接在宽带路由器之外，或者是你进行拨号的机器之内。

36. Panabit工作在旁路监听模式时，能对流量进行限速吗？
答：监听模式下，Panabit只能对镜像过来的流量进行统计分析，而不能进行控制。虽然有些设备可以通过发送应用层UDP包来进行干扰，但是很多P2P应用已经具备免疫能力，因此要有效的管控流量，建议还是采用网桥模式。

37. Panabit工作在透明网桥模式时，单点故障的问题怎么解决？
答：对于更加关注高可用性的专业版用户，Panabit已经可以提供完整的Bypass解决方案，完全解除您的后顾之忧。

38. 我的硬件平台有3块网卡，Panabit部署为网桥模式时，理论上网桥不需要配置ip地址，只要在第三块网卡上配一个内网ip做为管理口即可，为什么还需要配置缺省网关？
答：大家已经知道，Panabit的工作原理是“节点跟踪”+“加密协议深度识别”，通过两部分协同工作来确保对各种P2P应用的识别精度。加密协议深度识别引擎要求可以访问到外网，并且不能经过网桥，所以需要为管理口设置缺省网关，否则“加密协议深度识别引擎”无法正常工作，会大大降低对eMule类加密P2P类协议的识别能力，更无法对其进行有效的管理控制。