使用Panabit打造低成本流量控制方案

因为常规的网速限制模式不合理，所以现在的网络管理趋势是采用“应用层”过滤的产品，对网络的行为进行监控，将网络应用分层，在不同的时间进行不同的限制。例如在正常的工作时间，IT管理人员可以设定禁止或减小网络视频和P2P软件的速度，而在业余时间适当地加大网络视频和P2P软件的带宽，或者针对特殊用户进行特殊的定制等。不过，现在专业的流量控制系统通常采用1U的硬件，市场价多在5万～20万元之间，对于中小企业来说成本太高。而这些硬件流量监控系统，实际上也是采用计算机＋流量控制软件。因此，为了降低成本，我们也可以采用普通服务器安装免费流量控制软件的方式来打造低成本的流量控制解决方案。

Panabit是北京派网开发的基于FreeBSD Linux操作系统的“网络应用层”流量管理系统，特别针对P2P应用的识别与控制进行开发。其标准版可以免费使用，限制并发连接256个IP地址，无有效期限制，基本可以满足百兆级网络流量控制的需要，因此我们可以尝试用它来打造适合中小企业使用的流量控制解决方案。Panabit流量控制系统定位于网络设备级OS，需要安装在一台独立计算机中。我们在下文将介绍Panabit使用中的一些经验，包括安装、配置、升级等问题，以便帮助中小企业IT管理人员组建适合自己单位的流量控制系统。

Panabit体系结构

Panabit支持两种接入和部署方案：“旁路监听”与“透明网桥”模式，大多数用户使用后者。在“透明网桥”模式中，Panabit以透明网桥的方式部署在出口链路上，对出口链路上的双向流量进行协议分析、统计，同时根据所设定的规则对流量进行灵活的限制和分配。为避免Panabit遭受扫描、攻击，网桥上不需要配置IP地址，用户可通过专门的管理端口对Panabit进行配置管理。这是典型的部署方式(图1)。使用“透明网桥”模式接入，用户既可以统计流量，又可以做访问控制和带宽管理。

图1：Panabit的透明网桥模式

在“旁路监听”模式中，Panabit设备以旁路方式部署在交换机或路由器旁，通过交换机或路由器的“Port Mirror”(端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。在“旁路监听”模式下，Panabit只能对流量做分析统计，而不能进行控制。