配置指南
DDNS服务的阿里云DDNS配置说明
1、阿里云域名解析配置
登陆阿里云后,在域名解析配置前需要先注册一个域名,然后打开域名解析页面 https://dns.console.aliyun.com/#/dns/domainList。
添加域名“test.com”。
为“test.com”域名添加一个A记录。这里以"ddns.test.com"为例
到此域名解析配置完成。
2、创建AccessKey API 的账号与密钥
在管理后台鼠标移动到右上角的头像处,会有一个下拉菜单,选择AccessKey 管理进入管理页面。
进入页面后,使用方案(1)可直接创建具有帐户完全权限的AccessKey,但为了安全,这里推荐与演示也使用方案(2)。如图中的(2)
云账号 AccessKey 是您访问阿里云 API 的密钥,具有该账户完全的权限,请您务必妥善保管!不
要通过任何方式(e.g. Github)将 AccessKey 公开到外部渠道,以避免被他人利用而造成 安全威
胁。
强烈建议您遵循 阿里云安全最佳实践,使用 RAM 子用户 AccessKey 来进行 API 调用。
进入RAM访问控制-》人员管理-》用户-》创建用户
输入相关信息,这里以“ddns”帐户为例,注意勾选编程访问,一会创建成功后会用到。
确定后输入短信验证码。
成功后如下。复制AccessKey ID与AccessKey Secret 在第3步的添加DDNS解析记录会用到。
为刚创建的帐户添加DDNS管理权限。
在选择权限框中输入“AliyunDNSFullAccess”找到"管理云解析(DNS)的权限“,添加到右边,确认保存。
3、添加DDNS解析记录
进入PA的管理页面“http://ip”,在右上角打开应用商店,打开DDNS服务APP,选择添加。
添加记录时,域名填写第2步中阿里云上创建的域名A记录“ddns.test.com”。用户名与密码为云的
AccessKey API 的账号与密钥。
到此设置完毕。下图的记录为已更新过,所以显示没有更新。
Linux 版本 Panabit 进入单用户修改 root 密码
1、 设备接键盘显示器,加电开机进入启动界面, 出现 Panabit 亮条时按 e
2、 然后按向下键, 在下图示位置输入“init=/bin/sh”
3、 接下来按“ctrl+X”组合键进入单用户模式
4、 出现这一行的时候,接设备 console 查看
5、 波特率选择 9600 连接 console
6、 出现下面这个提示符就表示进入了单用户
7、 输入“passwd” 回车, 修改 root 账号密码,重复输入一个不少于 8 位的密码,少于 8位会有弱密码提示。
8、 输入 exec /sbin/init(退出单用户),回车
9、 等系统加载完成,通过修改之后的密码登录。
Panabit 新版本系统用户说明
一. 权限:
在新版本中,给用户权限划分了三个等级:
1. 超级管理员:
系统默认自带的 admin 账号,权限就是“超级管理员”。
可以访问和操作页面上所有内容。
2. 普通管理员:
a. 部分操作受限,如“不能新增系统用户”;
b. 默认某些页面部分内容不能访问,如【系统维护】,【系统用户】;
c. 只能访问“超级管理员”允许访问的页面【后续版本新增】;
d. 能访问的页面,操作权限同“超级管理员”。
3. 只读用户:
a. 默认部分页面不能访问;
b. 只能访问“超级管理员”允许访问的页面 【后续版本新增】;
c. 能访问页面,一律不允许操作,只能查看。
二. 允许登录的 IP:
新版本中,“超级管理员”可以给每个账号,设置“允许登录的 IP”,添加/编辑时,指定一个“IP 群组”,就表明该账号,只允许“IP 群组”中的 IP 登录。
注意 1: IP 群组的设置,详见系统页面的“对象管理->IP 群组”;
注意 2:以前往/etc/pawebhosts 文件中添加 IP,来限制登录的方式不再生效。
三. 密码规则:
为了满足等保 2.0 的规则,超级管理员可以设置“密码复杂度”、 “密码有效期”等规则。
1. 密码复杂度:
设置后,添加/编辑密码时,必须满足复杂度的要求才能提交。
2. 密码有效期:
密码有效期前 7 天,登录系统时会提醒修改密码;
密码过了有效期后,将无法登录系统。
四. 查看密码
在 web 页面,时查看不了账号的密码的,当想查看时,或者忘记密码时,可以 SSH登录后台查看。
输入命令 ipe_help
注意 1:新版本中不再有 help 命令。因为在 Linux 系统中,会与系统的 help 冲突;
注意 2:修改密码,不建议手动修改.htpasswd 文件,修改了也不生效! .htpasswd 文件,只是为了兼容用户降级系统版本的备份文件;新版本用户的文件,是加密后存 储的,手动修改不了,所以提供 ipe_help 命令来修改。
RAAS 对接 Panabit 进行 COA 代拨
一、 版本信息: 1. Panabit 版本信息:
(1) R7.19[SUI(隋)r1p9], Build date 20211103.164003
2. RAAS 版本信息:
(1) 20211102.160456
二、 测试环境拓扑图:
三、 设备配置:
1. RAAS 配置:
( 1) RAAS 项目配置:
注释 1:服务名称,可以自定义编写;
注释 2:服务类型选择 PPPOE(CoA 代拨认证);
注释 3:填写 Pa 与 RAAS 对接的线路 IP; (不填表示响应所有请求)
注释 4:填写 Pa 与 RAAS 对接的线路 IP; (不填表示响应所有请求)
注释 5:与 Panabit 对接时需要选择 GBK 编码;
注释 6:代拨接口为 3799 端口;
注释 7:RAAS 上的 CoA 代拨用户组;
注释 8:Panabit 上的代拨地址池名称;
( 2) 用户绑定代拨账号:
2. 代拨 Panabit 配置:
( 1) 对接 RAAS 配置:
( 2) 配置代拨服务:
( 3) 配置代拨地址池:
( 4) 配置代拨策略路由:
( 5) 配置代拨 DNS 管控策略:
3. 出口 Panabit 配置:
( 1) 配置出网路由;
四、 代拨在线:
Panabit指南-PPPOE代拨接口_COA方式(1)
为了和计费配合做整体方案, Panabit 的代拨提供了 RADIUS 接口, RADIUS 标准协议 里是没有代拨之类的操作的,所以我们就利用“万能药”COA 命令来提供创建代拨线路以 及捆绑的操作。
1 代拨上线
计费向 Panabit 发送 COA(code=0x2b)数据包, COA 数据包中包含如下属性:
1) User-Name(0x01):代拨帐号名称; 【必须】
2) User-Password( 0x02) :代拨帐号密码,需要注意的是, RADIUS 规范里 User-Password 是加密的,但是 Panabit 要求这里的 User-Password 不能加密; 【必须】
3) Filter-Id(0x0b) :这个属性的值为“__PAIPPXY__“,这个值表示这是一个需要 Panabit 执行代拨的 COA 指令; 【必须】
4) Framed-IP-Address(0x08):这个属性里存储的是要捆绑的内网 IP 地址;【必须】
5) Framed-Pool(0x58):存放的是地址池名称, Panabit 会根据这个地址池名称来 寻找外拨接口和 VLAN 参数, 地址池需要事先在 Panabit 上设置好,如果没有这个属性, Panabit 使用代拨模块默认配置的代拨信息拨号; 【可选】
6) Connect-Info(0x4d):这个参数里存储的是内网用户帐号名称,如果没有这个属性, Panabit 使用 User-Name 作为内网 IP 的账号名称; 【可选】
7) Port-Id(0x57): 这个参数里存储的是代拨帐号对应的 VLAN 信息 ,格式 为”10/20“或”10“,其中 10 为外层 VLAN, 20 为内层 VLAN;这个参数优先于 Framed-Pool 指向的地址池对象里设置的 VLAN 参数; 【可选】
8) Called-Station-Id( 0x1e) or Calling-Station-Id( 0x1f) :这个参数的格式 为”xx:xx:xx:xx:xx:xx” 或”xx-xx-xx-xx-xx-xx” ,存放要捆绑的 IP 的 MAC 地址,这个MAC 地址只是描述作用,如果计费和用户之间有三层交换机不能获取到真实的 MAC 地址, 也可以用三层交换的 MAC;【可选】
Panabit 收到 COA 请求后:
1) 如果成功拨号,返回 COA ACK(0x2c);
2) 如果拨号失败,返回 COA NAK(0x2d),失败的原因会放到 Reply-Message 属性 里,这个属性是一个字符串; 如果是认证错误, Panabit 会将 BRAS 返回的错误信息放在 Reply-Message 里传递给 AAA;
常见的 Reply-Message 值:
1)”POOLNEXIST”:指定了 Framed-Pool 属性,但是该属性指定的地址池在 Panabit 上没有找到;
2) “IPOBJ_INSTALL_FAIL” :创建内网 IP 对象失败,可能是授权不够,也可能是指 定的 IP 不在合法 IP 范围内;
3) “IPOVERFLOW” :代拨账号关联的内网 IP 数超过设定的最大值;
4) “IPPXY_NOOUTINTERFACE” :没有指定代拨外出网口;
5)其它信息:拨号认证失败后, BRAS 返回的信息;
2 代拨下线
计费发送 DM 给 Panabit, DM 消息中包含下面属性:
1) User-Name:代拨帐号名;
2) Framed-IP-Address:要解除捆绑关系的内网 IP 地址;
Panabit 收到 DM 请求后:
1) 成功下线,给 AAA 发送 DM ACK(0x29);2) 失败,给 AAA 发送 DM NAK(0x2a),并通过 0x65(101, ErrCause)属性告诉失 败原因;
ErrCause 属性:
1) 402: COA 请求中没有 Framed-IP-Address 属性;
2) 503: Framed-IP-Address 属性指定的 IP 地址未上线或已经下线;
3) 504:其它错误;
当外拨线路关联的所有内网 IP 都下线后,外拨 PPPOE 线路会自动结束。
3 代拨线路变化通知
Panabit 会通过 DM(Disconnect Message)给计费发送通知,通知的 DM 消息中包 含下面的属性:
1) User-Name:代拨帐号名;
2) Framed-IP-Address:最后一次绑定的内网 IP 地址;
3) Filter-Id : 值 为 “__PAIPPXY__:AUTHOK” 表 明 代 拨 线 路 拨 号 成 功, ”__PAIPPXY__:AUTHFAIL“,表示代拨线路拨号失败, ”__PAIPPXY__:TERMINATE“, 表明线路被对方中断;
4) Reply-Message(0x12): 存放的是拨号认证失败时上级 BRAS 返回的错误描述信 息;
4 终端状态查询
使用 COA 请求,请求中的属性:
1) Filter-Id:值为“__PAIPSTAT__” ,表示查询状态;2) Framed-IP-Address: 终端用户的 IP 地址; 如果用户在线并且代拨线路处于连接状态, Panabit 会返回 COA ACK,否则返回 COA NAK, Err-Cause 均为 506, 并且在 Reply-Message 属性里指定如下值:
1) “IPNEXIST” : IP 不在线, Panabit 在自己的 IP 在线表里没有找到该 IP 地址;
2) “IPNIPPXY” : IP 在线,但是没有代拨线路关联;
3) “IPPXYING” : IP 在线并且关联代拨线路,但是代拨线路在拨号中,处于非连接 状态;
4) “NOFRAMEIP” :请求中没有 Framed-IP-Address 属性或者属性值为 0.0.0.0;
5 终端下线通知
代拨线路的终端下线后, Panabit 会向 AAA 发送 Accounting Stop 数据包, 数据包中 包含如下字段:
1) Filter-Id:值为“__PAIPPXY__” , 和其它的 Accounting Stop 报文区分开;
2) Framed-IP-Address: 终端的 IP 地址;
3) User-Name: 终端的账号名称, 这个账号是 AAA 在 COA 代拨请求中发送过来的 Connect-Info 字段的值;
4) Reply-Message: 一个字符串, 告诉下线的原因;
Reply-Message 的值:
1)“KICKOFF”: AAA 使用 DM 将用户踢下线;
2)“FORCERMV”: 管理员在 Panabit 的 WEBUI 上将用户踢下线;
3)“DIALFAIL”: 代拨线路拨号失败导致下线;
4)“TIMEOUT”: 终端 IP 长时间没有流量被 Panabit 老化而下线;
5)“OTHER_N”: 其它不知名下线原因, N 是一个整数值;
需要注意的是, 终端下线通知功能默认是关闭的, 使用 floweye ippxy config offline_notify=1 打开, 0 表示关闭。
使用 RAAS 进行 portal 认证
目录
1 在 Panabit 上的设置
1.1 设置 RAAS 线路
1.2 在 Panabit 上开启 portal 认证
2 portal 认证界面的设置
2.1 登录 portal 认证界面
2.2 添加 bras
3 进入 RAAS 进行配置
3.1 创建企业
3.2 创建用户组
3.3 创建账号
4 测试
1.在 Panabit 上的设置
1.1 设置 RAAS 线路
首先先创建一条与 RAAS 通信的线路, WAN 线路和 LAN 线路皆可,保证此线路能和 RAAS互通,之后创建 radius 服务器。
1.2 在 Panabit 上开启 portal 认证
在 Panabit 的【应用商店】 中找到【移动 Web Portal】 打开。
点击启用,认证服务器选择创建的 RAAS 服务器。
之后在【应用商店】 中打开【Web 认证】
Portal URL: http://cmcc 服务器 IP/cmccportal.php?bras=xxx&domain=xxx&raas_ip=xxx
bras: 上面登录 cmcc 管理页面后添加 bras 设置的 bras 标识
domain: rass 里面管理员创建的企业域名
raas_ip: 安装 RAAS 服务器 IP
然后选中 radius 选择相对应的 radius 服务器点击提交即可。
2. portal 认证界面的设置
2.1 登录 portal 认证界面
进入 portal 认证的设置界面。
URL: http://raas 的管理地址/cmcc_ope.php
账号: admin
密码: panabit
2.2 添加 bras
之后在 bras 管理中点击【添加】
在此需要注意的是 LAN iP Panabit 的一个 WAN 线路或者 LAN 接口 IP。 Portal 服务器必须能与这个 IP 路由可达。
3. 进入 RAAS 进行配置
3.1 创建企业
注:这里的密钥和必须和 PA 上设置的密钥一致,否则无法认证成功!!
3.2 创建用户组
3.3 创建账号
打*的是必填选项,其他选填。如此账号创建完毕。
如此 RAAS 的设置完毕。
4. 测试
进行上网动作时,会弹出 portal
到 RAAS 上查看用户情况
如此便是设置成功。
SDWAN 域名分流故障
问题现象:
SDWAN 环境,分流 google 等网站线路到 境外 SDWAN 线路。
设置完成后,部分境外域名访问不正常,如下图,内容出不来。
排查:
1) 网站主页能访问,并且查看连接信息,有分流到境外 SDWAN 线路,说明常规操作没有问题,“分流策略”“自定义协议”等基本配置是 OK 的。
2) 一般大型网站,一个页面都会有很多请求,并且可能请求别的域名。浏览器打开 F12,查看一下访问网站时,具体有哪些请求,哪些请求失败了。
通过上面截图的方法,可以很明显的看到,有几个请求是一直挂起的状态,而后那几个请求显示失败,说明可能就是无法访问这几个请求,导致页面数据显示不出来。
查看那几个请求的域名: googleapis.com,发现是没有加到需要分流的自定义协议里面
解决:
既然是域名没有加全的原因,那么把 googleapis.com 关联到需要分流的自定义协议里面即可正常访问了。
总结:
网页类型的分流通常不单单只添加网页的域名就能分流成功,当没有达到预期 效果时,可以用此方法检查看看有没有遗漏一些域名信息。
web认证修改密码界面重影
一、 问题现象
web 认证修改账号密码的时候输入内容会与默认提示的内容重合,就会显示重影,进而导致 修改密码失败
二、 问题排查
谷歌浏览器 F12 进入调试模式,点到 NETWORK,刷新页面使其重新加载,发现 core.js 文件 404
进入后台查看发现确实是少了文件
查看发现 web 认证包里是有这个文件的
最终原因: 缺少 core.js 文件,导致界面异常。缺少原因未知。
三、 问题解决
【系统概况】 --【应用商店】 --【web 认证】
找到 web 认证 APP,点进去重新提交下设置。
导入配置的正确方式
问题现象:
我们导入一些配置时,常常导入后没有显示预期内容,或者显示乱码。以 IP 群组为例,如果自己创建一个文档导入 IP 群组中,备注都是英文和数字的话 没问题,可是有中文的话可能会因为转码的问题导致导入的备注是一串乱码, 本文教你如何正确导入 IP 不会乱码。
创建文件:
创建一个文本文档,之后把它的后缀改为.conf
编辑内容:
打开文件加入你要添加的 IP,注意格式是 ip+空格+备注。 例: 192.168.1.1 李四
保存文件:
建好所有的 IP 后,点击左上角的【文件】 —【另存为】(也可使用快捷键 Ctrl+Shift+S),选 择好要保存的目录后我们要注意,保存旁边有个【编码】 的选项,我们将编码选择第一个, 也就是【ANSI】,之后点击保存即可。
总结:
自己创建或者修改配置文件,在保存的时候一定要注意文件的编码格式,否则会出现导入不成功,或者乱码的情况。
端口映射问题
问题现象:
在端口映射页面,看到图中现象,会是什么问题?
异常的地方
1)所有端口映射策略下一跳 MAC 都是 00-00-00-00-00-00
2)策略的相邻接口是空白
可能的原因
添加策略后没有相邻接口,原因是策略中的服务器 IP 不在任何一个 LAN 接口 的掩码范围内。
添加策略后没有下一跳 MAC,原因 1)是策略中的服务器 IP 不在线;原因2)是策略中的服务器 IP 经过了路由器,那么需要在策略中填入下一跳 IP,也 就是 LAN 口对端接口的 IP。
总结
创建端口映射策略后。系统户会检查服务器 IP 在哪个 LAN 口的掩码范围内,然后 LAN 口会发 ARP 报文找到服务器 IP 的 MAC。如果 LAN 和服务器之间还经过了其它路由器,那么端口映射策略需要填下一跳 IP,也就是 LAN 下一个路由器的 IP。
多盘安装的日志新增硬盘
问题现象
本地服务器安装的日志系统,数据盘不够存储,需要添加硬盘作为数据盘, 但是在服务器机器上面插入硬盘后日志上面加载不出来。
排查与解决
1、 刚开始以为是单硬盘安装的,通过单硬盘安装增加硬盘的方法进行操作, df -h 查看数据盘已经挂载成功, sysctl -a | grep disks 查找新硬盘的名称, dmesg /sysctl -a | grep disks 查看启动信息,发现并没有信息。询问才知道 是多盘安装的硬盘。
2、 询问得知多盘安装的日志新增的硬盘不用在后台挂载数据盘,可以直接 在日志的管理 web 界面-系统状态直接添加,但是在 web 界面上面并没有看到 信息,结合之前后台也没看到相关硬盘的信息,怀疑是没识别到。直接重启。
3、 重启过后还是跟之前一样,应该是硬盘没有找到,这个可能是阵列中某 个硬盘未识别到,导致整个阵列无效。重新检查和处理硬盘后, web 界面就能 看到新增的 20T 的硬盘,然后添加成功。
总结
在安装的日志时,我们尽量能够使用多硬盘安装,也就是系统单独使用 1 个硬盘,数据使用其它硬盘。好处如下:
1) 添加硬盘更加方便,可以直接 web 界面直接添加
2) 单硬盘安装容易出现数据分区挂载慢的问题,当设备异常断电,再 启动时往往数据盘挂载不上,导致日志异常。
跨三层取 MAC不全
问题现象:
开启了跨三层取 MAC 的 APP 后,一部分 IP 还是核心三层交换机的 MAC。
可能的原因
客户机在到达核心交换机之前,可能还经过了一次路由转发。这种情况是比较 普遍的,核心交换机的下联不一定全是二层接入交换机,也可能是三层交换机。 那么只读取核心交换机的 SNMP,就没法获取到所有用户的真实 MAC
解决办法
通过 IP 段,找到对应的内接入网交换机,看是否经过多个路由转发。然后在跨 三层的 APP 里添加好对应的交换机 IP 即可。
总结
在跨三层取 MAC 时,一定要注意,内网可能存在多个三层交换机的情况。
连续数异常故障分析
问题现象:
客户反馈每天晚上很多人反馈网络卡顿严重,上网慢。
登录设备查看:
1、 通过 TOP 用户、 TOP 应用、 TOP 连接进行分析, 发现 TOP 连接中有个别 IP 连接数超出其 它用户数倍,其它基本在 600 连接数左右,初步判断为连接数问题。
2、线路连接数分析
查看线路连接数基本在 800 左右,并且查看历史趋势, 移动线路连接数最大在 2000 左右, 联通线路连接数最大在 1500 左右。
3、连接数总体趋势
查看连接数趋势,最大为 76000 左右
问题分析:
用户量为 750 左右, 总计 30 条移动线路和 10 条联通条线路, 客户使用的是 ADSL 线路,结合上面的分析, 外网可承载连接数大概在 75000 左右。 由于部分 IP 出 现连接异常,导致其它客户出现上网异常情况
解决办法及效果
对单 IP 进行连接数限制,后续客户暂未反馈网络卡顿
总结
1、 当遇到网络卡顿问题的时候,可以先从 TOP 用户、 TOP 应用、 TOP 连接看能否发现异常。
2、检查流量及连接数历史趋势,是否到了瓶颈。
如何使用 Panabit IPTV 流媒体网关 APP 抓取运营商的组播地址
一、 文档说明
此文档为在使用了 Panabit 和 Panabit IPTV 流媒体网关(以下简称 IPTV)情况下, 抓取 运营商的组播 IP 和端口。
二、 采集拓扑
运营商光猫---Panabit---IPTV 播放终端
三、 采集方法
3.1 升级 Panabit 到带有 IPTV 功能的版本升级包见群文件(QQ 群号码: 872011912)
升级步骤如下图所示
3.2 安装 IPTV APP
安装包见群文件(QQ 群号码: 872011912)
安装步骤如下图所示
3.3 打开 IPTV APP
3.4 开启 IPTV 的 debug 模式
3.5 在 IPTV 播放终端通过遥控器播放电视节目
每次播放一个频道, 等到有播放画面了, 从 Panabit 上查看组播地址和端口, 然后记录下频道名称和组播地址。
3.6 查看播放频道时, Panabit 上获取到的对应的频道组播地址和端口
在 Panabit 右上角命令行执行 floweye iptv stat 执行结果如下
3.7 记录完之后切换下一个频道, 循环执行 3.3 和 3.4 即可获取到运营商所有的频道对 应的的组播地址
四、 IPTV 上线
获取到组播地址之后, 我们就可以按照群文件里的《派网 iptv 白皮书-20201016》 进行 IPTV 上线设置了。
使用升级包重装panabit
问题现象:
1)用户使用浏览器访问管理口会显示 NaN 秒后重新登录。
2)检查是否和换浏览器内核问题有关。 更换谷歌浏览器后没输入账号密码时可以点击登录按钮,输入账号密码后再次点击登 录按钮没有反应。
解决
手动重新安装 Panabit
1) 使用 WINSCP 工具上传最新升级包到后台。如果 ssh 没有开启,先执行第 2)步, 接显示器,或者通过 console 登录后台。登录后执行 service sshd restart
2)使用 SSH 工具,或者接显示器,或者通过 console 登录后台,如果不知道后台密码 参照帖子说明重置密码。 https://bbs.panabit.com/thread-10599-1-1.html
3)执行解压命令, tar -zxf 文件名 例如下图:
解压后,会产生一个和文件名一样的目录
4)停止 Panabit 相关程序
执行命令 /usr/ramdisk/bin/ipectrl stop 可以多执行几次没关系
5)复制升级文件到目录
执行命令:
cp –rf /root/解压的目录名称/* /usr/ramdisk/
cp –rf /root/解压的目录名称/* /usr/system/
6)重启 panabit
执行命令 /usr/ramdisk/bin/ipectrl start
7)登录页面看问题是否解决,同时检查原有配置是否都正确。
总结
页面登录问题,一般是 httpd 程序与版本不匹配。但是又无法通过页面做一次升级更新,
因此需要在后台手工更新一次版本。这个方法不单是对页面登录不了。
在升级前,可以先备份配置文件到本地
Panabit 配置文件的路径是: /conf/panabit.conf
本地账号配置文件的路径是: /conf/account.conf