做网络运维的,基本每天都在和策略打交道。
新业务上线要配策略,链路调整要改策略,出了问题第一反应也是去翻策略。
我们处理问题、优化网络,都离不开策略。某种程度上说,运维本身就是在调策略。
什么是策略?说白了,就是对网络流量进行精细化控制。
哪些流量走哪条链路,哪些可以访问,哪些需要限制,优先级怎么分……这些都依赖策略来完成。
可以说,网络是否可控,很大程度上取决于策略是否清晰、是否好管理。一个运维的水平如何,很多时候,从他写的策略就能看得出来。
在Panabit的产品体系里,这一点会更加明显。
从流量控制、路由管理,到连接控制、HTTP/DNS管控,核心都是基于策略来进行配置和管理的。策略不仅仅是一个功能点,而是贯穿整个网络管理的基础能力。
Panabit的流量控制策略
那么,是不是策略写得越多,控制就越精细,网络就越好管呢?
其实也不尽然。策略少的时候还好,一旦规模上来,数量变成几百上千条,问题就来了:
▶ 列表越来越长,找一条策略要翻很久
▶ 很多规则条件相似,却要重复配置
▶ 改一条策略,还要反复确认会不会影响其他规则
本来是为了精细化控制的策略,反倒变成了运维的负担。做最好的策略,用最差的网。
因此,在最近发布的Panabit TANGr7p8版本中,我们给IPv4策略路由加了一层结构:策略组。
Update
IPv4策略路由支持策略组
之前,所有IPv4策略路由都平铺在一个列表;现在,变成了类似流量控制里“策略组 + 策略”的两层结构。
可以分组管理的IPv4策略路由
每个策略组可以包含多条策略,这样做的思路是,把具有相同特征的流量先放进一个“组”,再在组内做更细的控制。
换句话说,就是把「共性条件」放到策略组,把「差异控制」留在策略内。
这样带来的变化是非常直接的:
▎第一,配置更简单了
像源接口、源地址、目标地址、生效时间这些经常重复出现的条件,只需要在策略组里统一配置一次,组内策略自动继承,不需要每条策略都写一遍。
策略组统一配置匹配条件
配置量少了,策略数量也更精简,出错的概率自然就降低了。
▎第二,管理更清晰了
策略不再是一长串列表,而是可以按业务或场景进行分组,比如办公流量一组、访客一组、专线一组……
查看和调整时,可以直奔对应业务组,不用再一条条翻策略。
策略组可拖拽顺序
同时,策略组之间的顺序也可以灵活调整,整体逻辑更加直观。
▎第三,匹配更高效了
策略匹配从原来的逐条比对,变成了先匹配策略组,再匹配组内策略。
*策略组是第一层匹配条件,只有当流量命中策略组的条件后,才会继续匹配组内策略;如果策略组本身不匹配,流量会跳过并匹配下一个策略组。
相当于先做一次筛选,再做精细匹配。在策略数量较多、条件相似的场景下,减少不必要的匹配开销,提升转发性能。
最后,我们也保留了既有策略的兼容性。
在升级到TANGr7p8后,原有的IPv4策略路由不会发生变化,而是会被自动归入一个“默认策略组”中,作为兜底策略参与匹配。
默认策略组
整个过程对现网是无感的,不需要额外调整配置,就可以直接使用新的分组结构。
回到最开始的问题:策略写得越多,网络就一定越好管吗?
答案未必在“多”,而在于“是否有序”。
新版本将原有的单层策略堆叠,升级为分层结构化管理,策略再多,照样能够有序可控。
接下来,我们再一起快速看看TANGr7p8版本的其他更新内容。
Update
功能优化
● 策略匹配全面支持连续段QinQ
在运营商、园区、IDC等场景中,双层VLAN(QinQ)往往是成段出现的。新版本中,各类策略(包括策略组)支持“a-b/c-d”格式的连续段双层VLAN配置,一条规则即可覆盖整段VLAN组合,配置更精简。
● 通道限速优化
针对流量控制中的通道限速进行底层算法优化,提升限速准确度与稳定性。
● 阻断日志留存
优化设备本地阻断日志留存能力,默认保存最多4000条阻断记录,现场排查更方便。
如需留存更多阻断日志,可对接Panalog日志平台。
● 入侵防御检测新增IPv6支持
全面支持IPv6流量的入侵防御规则匹配、威胁检测与阻断,实现IPv4/IPv6双栈环境下的安全防护。
● PPPoE支持DHCPv6 PD前缀分配
支持通过PPPoE获取IPv6前缀,并自动向内网分配,完善IPv6组网能力。
● 链路聚合优化
新增支持Mode 3(Broadcast)链路聚合模式。聚合组内的数据可通过多个网口同时发送,提供更高冗余能力,适用于对链路连续性要求极高的场景。
● 学术访问对接
新增与深澜Radius系统对接,自动识别用户权限,动态加入/移除IP群组,实现合规的学术访问控制。
● 域名长度扩展
针对DNS管控、HTTP管控、域名追踪等模块,单条域名最大支持长度由94位扩充至124位,支持更长域名的识别与管控。
● Radius模块支持QinQ顺序调整
新增invlanfirst参数,用于控制双层VLAN场景下,NAS信息输出时内外层VLAN的顺序,适配不同设备的对接格式需求。
● MAC记忆优化
在WEB认证中,支持对同一MAC地址下接入的终端进行在线数限制与超限统计。
● MAC认证优化
MAC认证发起Radius请求时,请求中携带用户实际VLAN信息,保障基于VLAN的策略管控与用户识别能够正常进行。
● AX系列网卡驱动优化
增强网卡数据接收兼容性,可正常处理checksum异常报文,避免因报文校验和错误导致的丢包、业务中断或流量统计异常问题。
Update
界面优化
● 登录支持邮箱双因子认证
系统用户新增邮箱双因子认证登录,可按需开启。
开启时,账号密码校验通过后需进行邮箱验证,提升登录安全性。
● 系统用户增加非法字符提示
创建系统用户时,若用户名或密码包含不支持的字符,将实时弹出提示。
● 本地账号增加非法字符校验
在本地账号创建及导出时,自动校验不支持的字符,避免配置异常。
● SSID配置增加VLAN范围提示
添加SSID时,若VLAN ID不在合法范围内,将实时弹出提示,减少配置错误。
● DHCPv6支持地址范围与前缀委派配置
在用户组中新增DHCPv6地址分配能力,支持地址范围配置及IPv6前缀委派。
Update
应用识别更新
● 新增“安粮易星”等42种应用
● 更新“广告猎手”等18种应用
Update
下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(专业版/网吧版/SMB版/流媒体版/标准版)。
其中,ARM架构的Panabit(如AX50系列),请选择ARM的版本进行下载。