一、优化改进

1.1 支持全锥型NAT

全锥形NAT（Full Cone NAT），即从内网的（IP，端口）发送出来的请求都会被映射到同一个外网（IP，端口），且任何一个外网主机都可以通过访问映射后的公网地址，实现访问位于内网的主机设备功能。

有了这个功能，可以使得一些需要使用UPNP技术联网的游戏能够联网成功。

Panabit的全锥形NAT特性如下：
1）目标端口为1024以下的会话，不会触发全锥型NAT动作，即便策略里指定了也不行；
2）针对一些有名的目标端口如5353，1900，也会忽略；
3）如果会话触发了全锥型NAT策略，Panabit在做SNAT的同时，将外网IP和NAT端口动态映射到内网IP和内网端口上，这个映射在这条触发映射的会话周期内一直存在，会话消失后系统会将映射关系解除；
4）动态端口映射条目有限制，与设备型号有关系。使用floweye dynpm stat可以查看当前已经分配条目（count）和支持的最大条目（pool_size）；
5）如果内存允许，可以在/etc/PG.conf里通过设置DYNPM_POOLSZ变量来扩大最大可支持的动态端口映射条目；

配置方法

在配置NAT策略时，将全锥形NAT选项勾选即可

1.2 IPSEC模块优化

IPSEC模块解除了对openssl库的依赖，同时支持国密

1.3 IP群组算法优化

优化IP群组查找算法，提升效率。

1.4 PPPOE代拨模块优化

在代拨场景中，1个代拨账号是可以对应多个内网用户的，如果代拨账号已经在线，新内网用户使用同样的代拨账号上线，如果AAA传递来的代拨绑定里关于代拨的地址池参数和已经在线的不一致，会代拨失败。在修改之前，Panabit是不会检查这些参数的，直接告诉用户代拨成功。这个修改是为解决一个上海高校用户碰到的问题。

1.5 更新ARM设备驱动

更新8111H、8211FS、STMMAC等驱动

1.6 改进授权机制

针对PN5000及以下PN租赁版本授权，如果使用的是官方机，每个注册IP额外增加一些并发连接，最多可以增加原有授权的20%。非官方机最多增加10%。

PE规格系列的授权，只适用于AX系列的硬件，非AX系列硬件无法导入PE规格的授权。

1.7 优化GRELAN线路

支持当GRE承载地址与LAN口地址不在一个子网的场景。

例如：UPF设备要与Panabit的LAN2的IP建立GRE，但是回程路由从是走LAN1。

1.8 GRE线路优化

增加线路IP的设置；

1.9 HTTP管控优化

当终端用户被http管控后，用户需要网络管理员解除对自己的管控时，可以在HTTP管控的信息提示中看到自己的IP信息。方便一些对计算机不熟悉的用户能够快速知道自己的IP，并告知网络管理员。

1.10 优化告警模块

增加WAN线路Ping延迟监测告警功能

1.11 系统后台优化

将ramdisk从64M调整到100M（重启生效）

1.12 策略路由优化

增加SNAT选项，在策略路由进行NAT时，可以直接在SNAT选项中填写NAT地址。命中策略后，数据包源地址会转换成SNAT选项内的地址，再从策略的WAN线路转发出去。可以同时填写单IP和IP范围，添加多个时用英文输入法中的逗号“,”间隔开。

1.13 优化代拨模块

在只做代拨网关的场景下，代拨线路老化后，发送计费stop报文给AAA。这样的场景下，认证网关和代拨网关不是同一台设备，AAA同时对接认证网关和代拨网关，因此代拨线路下线后，代拨网关通过发送计费stop报文通知AAA。

通过命令floweye ippxy config offline_notify=1 开启

1.14 优化rtentry模块

rtentry模块是维护对内的ARP表项。这些表项默认是根据ARP报文自动生成，为了避免在ARP错误时产生对内路由不通的故障，因此增加一个能够手动维护这个表项的功能。

增加静态ARP维护功能，使用floweye rtentry add ip=x.x.x.x dev=proxy-name mac=xx-xx-xx-xx-xx-xx 【vlan=n/m】增加一个静态ARP表项；使用floweye rtentry list输出后，最后一列表示表项的类型（dyn表示动态，perm表示静态）；