终于来了!
这次的Panabit TANGr7p6,本来只是一次例行的小版本更新,但没想到会越做越深,越做越大。 三个月里,我们一边优化底层,一边补齐长期规划的能力,同时又塞进了不少用户强烈要求的模块。等一切收完尾,再回头一看,这已经不是一次简单的版本升级了。 从TANGr7p6开始,Panabit的能力边界也在悄悄变化:不仅能做流量管理,也能抗住攻击;既具备二层能力,又能做三层路由;既能服务小场景的简易网络,又能支撑大场景的企业出口与骨干链路。 它正在从传统意义的“网关”,逐步成为一个更智能、更安全、全场景化的网络基础平台。
Update 写在前面:AX51请升级
在正式介绍之前,小派先提醒所有AX51用户,请务必升级到TANGr7p6版本。 前段时间的AX51活动让不少朋友提前用上了这款小钢炮:三年之后,2.5G国产化纪念版网关来了 而TANGr7p6,正是针对AX51的正式适配版本。AX51也只能在r7p6及之后的版本上持续升级,无法降级回r7p6之前的版本。所以,如果你手上有AX51,这次升级一定要安排上。 Update 新增功能一:LAN二层交换
说到这次更新最值得聊的变化,LAN二层交换(LAN Switch)必须榜上有名。 老用户应该都知道,Panabit的硬件结构比较特殊。每个接口独立存在,彼此之间默认不通,想让不同接口下的设备互访,就得跨网段、写路由,多少有点不够顺手。
新版本的LAN二层交换正式把这个痛点解决了。
我们可以把多个物理接口组合成一个二层交换组,让连接在这些接口下的设备像接在同一台交换机上一样,同网段、可互通、互相二层转发。
将物理接口加入二层交换组 可以说,这是Panabit补齐二层能力的重要一步。 相较于TANGr7p4版本引入的LAN Bridge,只能让终端访问网关而无法互访,TANGr7p6的二层交换则是真正意义上的二层互通,可完全替代原有的LAN Bridge功能。 LAN Bridge vs. LAN Switch
加入LAN二层交换后,二层互通有二层的逻辑,上层流量想走三层转发仍然正常,办公桌面、门店分支等小规模局域网拓扑一下子就能简洁很多。
一句话总结就是:Panabit可以承担部分二层交换功能(适合轻量LAN),与三层路由协同工作,部署更加灵活。 Update 新增功能二:攻击防护
另一个必须重点提的更新,是很多用户等了许久的攻击防护。
Panabit在流量管理和控制上非常强大,但在底层抗攻击方面,尽管也有相关功能,却一直缺少一个专门的模块。新版本增加的攻击防护,重点集中在三类核心场景:
1 畸形报文防护 检测异常TCP标志、超长ICMP、Ping of Death等,将不规范流量提前拦截。 2 Flood攻击防护 针对SYN/ICMP/UDP等典型流量型Flood攻击,通过“特征识别 + 智能限流 + 源追踪”组合方式处理。既能抗压,也不影响正常访问。 3 局域网ARP Flood抑制 自动检测异常ARP速率并限速,避免单台故障设备拖垮整个LAN。
除了拦截,还可以实现实时的告警上报,让管理员第一时间看到问题、确认风险。
一句话总结:让Panabit既能识别处理业务,也能扛住攻击。
Update 新增功能三:安全策略
这其实就是大家非常熟知的ACL(访问控制列表),在新版本中被独立成一个更清晰实用的模块。
新版本安全策略的最大特点,是匹配条件丰富,但动作更简洁。
可基于源/目的IP、端口、协议、应用、时间段等多维度条件组合匹配,IPv4/IPv6双栈全覆盖,灵活适配多场景网络安全防护需求。
策略条件丰富
而策略动作只有阻断(deny)和放行(pass),没有复杂动作,配置更清爽。
两种执行动作
这种“条件足够丰富、动作足够简单”的组合方式,特别适合访问控制、分区隔离、临时封禁、业务放行等场景。
简单说,这次的安全策略更轻、更快、更好理解,也更适合做底层基础防护。
Update 其他新增功能
除了上面三个重磅更新,新版本还带来了这些新功能:
▎共享检测
共享上网可以说是一个老大难问题了,特别是在运营商、高校、园区等场景,它带来的影响很现实:多人共享同一账号会导致计费混乱、审计困难、资源被滥用,甚至影响网络安全。
TANGr7p6版本带来了全新的共享检测功能,融合DPI流量特征分析与共享设备专有协议解析,通过终端数量+设备类型双维度进行共享设备检测。
自定义共享检测管控
它不是简单粗暴的禁止共享,而是提供一种可控、可查的管理策略,真正掌握每个终端的网络使用情况。
▎FTP ALG
FTP是个老协议了,在政企、制造业、工控网络中仍被大量使用,但其动态端口机制在NAT环境下经常导致“能登录、传不了文件”的问题。 新版本增加的FTP ALG,可以自动解析控制信令、判断主动或被动模式,并根据协商动态开放对应端口,无论是主动模式还是被动模式,都能确保FTP在NAT环境下的顺滑稳定。
▎OSPFv3
OSPFv3是专为IPv6网络设计的动态路由协议,延续了OSPF的高效收敛与分层优势。 随着越来越多用户开始在生产网中启用IPv6,新版本也加入了OSPFv3的支持。 同时启用OSPF和IPv6即可 IPv6的路由学习、路径收敛都能自动搞定,和IPv4的体验一致,双栈环境的管理压力也轻松不少。
▎NCE-Campus联动
新版本增加与NCE-Campus的标准化对接能力,可实时同步账号与IP的映射关系,实现跨平台账号联动校验与终端权限精准管控。
对接示意
如此一来,Panabit可自然融入园区统一管控体系,终端身份更清晰、权限判定更精准、管理员维护成本显著降低。
Update 功能优化
● IPv4/IPv6转换 在IPv4/IPv6转换场景中,访问CDN时可能会出现异常。新版本通过“虚拟IPv4地址池 + 真实IPv6地址映射”的方式优化了跨协议解析和转发逻辑,可自动生成虚拟地址并完成IPv4到IPv6的透明转换,确保依赖域名业务的正常访问。 ● IPv6路由/NAT 引入最大上下行带宽参数,双栈多线路负载场景下,让IPv6路由和NAT策略也能自动判断线路是否饱和、自动切换或做带宽比例负载均衡,提升线路利用率,减少手工调整。 ● 策略路由模块 在OLT–ONU等多层网络结构下,仅靠单层VLAN难以实现精细分流。新版本支持以外层VLAN + 内层VLAN的双标签(QinQ)作为匹配条件,可为不同业务类型的流量定制专属的转发路径,实现清晰的业务隔离和跨区域传输。 IPv6策略路由也支持该功能 ● IPsec分片重组 部分场景下,数据包体积超过链路MTU会导致IPsec通道中断。新版本在IPsec发送流程中加入分片与重组机制,自动判断包大小、分片并按顺序发送,确保所有数据都能完整穿过IPsec通道,提高业务稳定性。 ● 802.1x认证模块 增加认证失败次数阈值控制,当终端连续认证失败达到设定次数后,Panabit会暂时阻断该MAC的认证请求,避免后台重复尝试导致账号锁定。 ● AD域同步 将AD同步流程进行底层重构,实现秒级同步,同时将用户组上限从2000扩展至12K(当前x86平台支持)。此外,新版本完整支持AD安全组,使同一账号可归属多个组,也能基于安全组执行不同的控制策略,适配更复杂、更大规模的企业管理需求。 ● IP群组模块 动态IP群组数量从256扩展至384; 动态IP群组升级IPv6查询算法,兼容多长度前缀并自动校验,并解决前缀不显示问题; 普通与动态IP群组支持大于/64的前缀格式,以支持对更细地址段进行权限或资源管控。 ● 内网IP对象模块 改进ARP处理机制,主动更新IP-MAC映射,使设备在线状态更准确,管控更加稳定。 ● RADIUS模块 支持RADIUS DM(Disconnect Message)报文抄送,在多设备、多认证系统的网络架构中,使多个认证系统都能实时获知用户上下线状态,确保计费与账号管理一致,避免出现区域切换后流量重复计费或记录缺失的问题。 ● 端口映射模块 在一些企业网络中,服务器通过端口映射方式上线,所有访问都会先被转换成另一段内部地址,再进入核心网络。 新版本改进了会话与日志的记录方式,当流量经过LAN地址做代理时,系统会话和日志中的源IP、源端口会显示为最初的访问者,而不再显示代理地址。即使映射后的服务器遭到扫描或攻击,也能第一时间定位真实来源。 ● 威胁情报模块 加入命中计数清除能力,可按需清除指定IP或所有在线IP的命中记录。管理员在处理完安全事件后,可重置计数,用新增的命中趋势观察终端是否再次感染,提升排查效率。 ● 节点跟踪模块 在DPI中加入内网IP自动过滤逻辑,系统在识别节点前先判断IP是否属于内网,如果是,则不再加入节点列表,提升识别准确性。 ● 自定义管理端口 新增自定义SSH服务和HTTPD服务端口功能,可更改为其他端口,避免与业务端口发生冲突。 ● vMGT 增加对系统内核版本为Linux 4.19和Linux 5.4提供vMGT功能。
Update 页面优化
● 新增白色主题 界面可切换亮色主题,提供更多选择。 ● 安全防护模块 威胁情报模块更名为安全防护,模块结构更清晰,新增攻击防护、安全策略子模块,旧功能保持一致。 ● 管理口设置 无需再用命令行,Web界面即可添加多个管理地址。 ● 自定义协议组 优化自定义协议组操作,添加/编辑自定义协议组时,可按需选择或删除子分类。 ● 网卡抓包 无法同时勾选TCP标记和数据包,避免抓包不生效的情况。 ● 名称校验逻辑优化 自定义协议、自定义协议组、线路名称、流量控制策略名称、数据通道名称等模块不再允许使用纯数字,避免配置混淆。 ● IPsec配置 预共享密钥支持更多字符,提升兼容性。 ● 本地账号创建限制 账号字段新增符合规则的字符校验,降低误操作风险。 ● 系统管理账号创建限制 输入非法字符时会给出提醒,让账号创建更安全。 ● 操作日志 优化日志显示信息,更加详细,方便定位问题和审计。 ● NAT地址栏显示 策略改为路由后,不再显示无效的SNAT地址,界面更干净。
Update 特征库更新
● 新增“阿里云无影”等28种协议 ● 更新“通义千问”等20种协议
Update 下载地址
访问Panabit官网下载中心获取: https://www.panabit.com/download 其中,ARM架构的Panabit(如AX50系列),请选择ARM的版本进行下载。
Update 写在最后
转眼2025年已近尾声,我们终于能把这三个多月以来的积累一次交付,也希望这个版本能不负大家长久的等待。
如果你已经升级,欢迎把使用感受告诉小派;如果你还在犹豫,也请放心上车。希望我们的下一次见面,不会太久~