价廉物美,自己打造网络流控方案
特别策划
网络流控方案给企业用户带来的好处是不容置疑的,不过很多中小企业用户对网络流控产品的价格有“恐惧症”,中小企业用户如何能拥有性价比较高的网络流控系统呢?这里就为大家介绍如何用最少的钱实现高性能的网络流量控制方案,通过本文介绍的方法,只需要一台普通的台式机,就可以实现比较昂贵的流控设备的功能,完全可以满足要求不高的中小企业用户的需求。
网络拓扑结构及主角
本文的主角是Panabit,它是目前国内开放度最高、免费、专业的应用层流量管理系统,特别针对P2P应用的识别与控制。我们只需要一台普通台式PC,具有3块网卡,有128MB以上的硬盘空间即可。在该PC上安装FreeBSD 6.2或以上版本的操作系统,就能够部署一台具备中文Web管理界面、全功能Web管理与监控、可在网络的任何位置灵活方便地进行配置管理的流控系统了,而且其配置简单、界面简洁,可轻松上手。笔者已经用Panabit在多所学校搭建了免费的网络流量控制系统,实际应用效果非常好。
在网络拓扑结构上,Panabit使用的是桥接结构,说穿了就是通过它将内外网桥接到一起,并且利用桥接实现对所有通信数据包的监控与管理。在网络拓扑连接结构上,我们可以把安装了Panabit流量管控软件的PC放置到内网与外网之间。图1就是笔者在实际应用中部署了安装有Panabit 的PC的网络拓扑结构图。
安装Panabit的PC上需要有3块网卡,一块接内网(可以是内网交换机的总出口),另外一块用于连接路由器,第三块用于连接管理机,这个管理机可以是为管理Panabit使用的专用主机,也可以是为了节约资源而使用的其他内网机器。
Panabit的安装方式主要分两种:一种是全新安装,需要先安装FreeBSD操作系统,然后再安装Panabit;另外一种需要使用Panabit Livecd光盘或闪存启动进入Panabit管理界面,将所有配置都读写到内存中,然后使用和第一种方式一样,在功能上也没有太大的差异。不过需要提醒一点的是,采用后一种方式部署Panabit时,虽然操作上很简单容易上手,但是一旦Panabit设备重新启动或断电,所有配置都将清零,需要重新初始化并进行相关参数的配置。不过只要我们设置熟练并将之前的各个设置导出成配置文件,就可以在3分钟之内让Panabit恢复到原来的状态且顺利上线。
小知识:FreeBSD是一种类Unix操作系统,但不是真正意义上的Unix操作系统,它是由经过BSD、386BSD和4.4BSD发展而来的Unix的一个重要分支。
FreeBSD 为不同架构的计算机系统提供了不同程度的支持,它可运行在采用Intel X86处理器、DEC Alpha、Sun微系统的UltraSPARC、Itanium (IA-64)和AMD64处理器的计算机上,针对PowerPC的支持正在开发中。
对于初学者来说,建议各位首先采用第二种不需要安装操作系统的方式来部署Panabit,操作很简单,而且与全新安装没有任何区别。下面笔者就为各位介绍如何通过Panabit Livecd光盘启动的方式,安装并配置Panabit,实现合理规划内网流量。
系统集成与包装
通过Panabit Livecd可以将一台普通台式机模拟成网络流量控制设备,整个操作很简单。首先是要找到一台普通台式PC,要求拥有三块网卡,然后下载Panabit的最新版本Livecd(下载地址是http://www.Panabit.com/download/Panabit0907CD_72.iso),将镜像文件下载后刻成光盘,整个镜像文件只有10MB多一些。
1.设备选择与Livecd驱动
有条件的可选择一台配置较好的PC用于安装Panabit,对于节点数较多的企业的日后维护和系统高效率运行比较重要,本文主要介绍将Livecd程序刻录成光盘进行引导。
第一步:Panabit Livecd可以控制和管理内网的节点数在256个以内,可满足中小型公司的需求。如果节点数不多,安装Panabit Livecd的计算机配置要求并不高。笔者选择的是老式联想PⅢ主机、3块网卡,内存是512MB。要求安装Panabit的PC有3块网卡,如果不够可以通过PCI接口添加。
第二步:接下来启动计算机并用Panabit Livecd光盘启动引导,然后就可以看到实际上该光盘集成了FreeBSD操作系统,启动过程会扫描当前设备的硬件情况,引导完毕出现Login提示符,输入用户名为Root即可,密码不需要输入。
第三步:登录成功顺利出现Panabit#提示符,这是Panabit的管理控制端,现在还不是图形化界面的,需要用户对基本接口和服务进行设置,才可以通过管理端地址访问图形化管理界面。完成引导后要对Panabit的一些参数进行设置,让图形化Web界面能够顺利启动,让用户可利用图形化管理界面对内网流量进行调控。
2.接口的配置与管理
由于安装Panabit的PC有3块网卡,每块网卡的功能是不同的,各有各的标志,下面就来了解一下相关接口的配置与管理。
首先了解各个网卡接口对应的名称标志,在Panabit#提示符后输入ifconfig来查询,然后可以看到对应的3块网卡,每块网卡的名称都不同,如笔者使用的是rl0、fxp0、rl1这3块网卡(图2)。我们可以通过Status下的状态了解它们的连接情况,“no carrier”是没有插网线,“carry”则是已经连接了网线。这样就可以通过插拔网线的方法了解到各个网络接口对应的名称标志。同时我们可以约定好各个接口的功能,如笔者就选择fxp0作为管理接口,而rl0连接内网,rl1连接外网。
接下来通过命令ifconfig fxp0 192.168.1.23 255.255.255.0,为fxp0接口配置一个IP地址和子网掩码,需要提醒的是,配置Panabit时只要给管理接口设置IP地址即可,对于内网接口和外网接口是不需要分配IP地址的,因为Panabit通过网桥模式工作。最后用另一台普通PC连接安装Panabit 的PC的管理接口(fxp0对应的网络接口),然后在这台普通PC上设置IP地址和子网掩码为192.168.1.129 255.255.255.0,这里只需要与fxp0接口属于同一个网段即可,网关地址可以不用输入。
用网线将另外的PC与安装有Panabit的PC的管理接口连接起来,如果设置得当,会看到网卡工作状态是正常的。在那台普通PC上ping管理接口PC的IP地址192.168.1.23应该是畅通无阻的,同时在Panabit管理控制台上,可以看到fxp0接口状态提示为“link state changed to up”。
3.修改配置文件,指定数据端口与管理端口
仅仅针对数据端口进行设置还没完,还需要编辑配置文件指定数据端口和管理端口,具体步骤如下。
第一步:在Panabit管理控制台下输入“vi /etc/PG.conf”,这里要注意,字母的大小写一定要区分,PG是大写其他字母是小写。
第二步:在VI编辑状态下修改PG.conf配置文件的第五行和第六行,其中admin_port后是管理接口,可以修改为实际使用的fxp0,第六行是数据接口data_port,设置为“rl1 rl0”,然后保存退出即可(图3)。
小提示:在VI下编辑操作比较复杂,首先进入的是可删除不可输入界面,我们需要输入i进入编辑模式,当输入修改完毕后再按ESC退出编辑模式,然后通过:wq来保存退出,如果输入错误可以通过:q!直接退出而不保存。
第三步:编辑完PG.conf并指定数据接口和管理接口后,还需要启动Panabit服务,具体命令为“/usr/Panabit/bin/ipectrl start”(ipcetrl stop是停止该服务)。
4.在管理机访问Panabit图形化界面
一切顺利完成后,我们可在之前的管理机上通过http://192.168.1.23(Panabit fxp0接口的IP地址)来访问Panabit图形化管理界面,由于是HTTP访问,所以首先会看到证书安装界面,选择“是”按钮即可。接下来要求输入登录密码,这个和Panabit控制台登录是不同的,默认输入用户名为admin,密码是Panabit。确定完毕即可进入Panabit图形化管理界面,在这里可以看到当前连接的内网各个时间段的流量情况,同时我们可以针对各个不同的网络应用与网络服务还有通信协议进行限制和有效管理。
5.数据接口的配置与物理连接
最后需要将内网接口和外网接口都连接好网线,让Panabit真实上线。需要注意一点的是,内网和外网一定要连接对,不要弄反了。物理连接完毕后还需要进入Panabit管理界面对数据接口进行配置,在“网络配置”→“数据接口”下针对rl0、rl1的应用模式与接入位置进行指定。内网和外网设置正确并且连接没有问题的话,隔一段时间后就可以看到内网流量中的各个协议和各个服务占用的百分比,同时各个协议使用者的IP地址也将一览无余(图4)。
6.软件设置与流量过滤
当我们轻松地将Panabit安装并上线成功后,就可以通过它来管理内网流量了,具体操作方法可以参考产品说明书。总之,设备初始化是关键,上线成功后进入管理界面都是中文提示,很人性化,用户只需先到“策略管理”建立“策略组”和“策略调度”,然后就可以在查看页面下浏览到被过滤的数据信息了。“策略组”相当于我们设置的流量管理规则,而“策略调度”则是时间段,起到的作用是告诉Panabit什么时间应用哪个“策略组”。
实际应用效果
使用Panabit+PC的流控方案,对网络流量进行过滤的效果如何呢?笔者在多个学校内部通过普通PC建立了Panabit系统,起到了封锁在线视频、开心网访问以及BT、电驴下载等应用,在实际使用中能够很好地起到隔离、控制、限速等多种功能。从流量图信息中可以看到HTTP流量占据的百分比明显比之前有所提高。
从费用上看,由于Panabit目前对广大用户是免费提供的,特征代码等信息也可免费升级,所以产品购买方面是没有任何开销的,主要的开销就是购买安装Panabit的那台PC(有旧电脑可用连这笔费用也省了),另外还有购买网卡的费用,总费用估计在3000元以下。
笔者使用Panabit+PC流控方案有半年了,在这半年里没有出现过一次设备假死的问题。对于中小企业来说,如果企业内网的网络终端在250台以下的话,Panabit+PC的流控方案是不错的选择,如果需要管理的设备数量超过250台的话,就需要购买更高级版本的Panabit了。