Panabit常用命令手册更新于0919.docx

Panabit常用命令手册更新于0919.docx

《Panabit常用命令手册更新于0919.docx》由会员分享，可在线阅读，更多相关《Panabit常用命令手册更新于0919.docx（12页珍藏版）》请在冰豆网上搜索。

Panabit常用命令手册更新于0919

Panabit常用命令手册

1.基本

官方硬件管理口：

MGT

默认管理ip：

192.168.0.200

Web管理界面：

https:

//192.168.0.200

Web管理界面默认用户和密码：

admin/panabit

后台管理默认用户和密码：

root/panaos

2.FreeBSD命令

1）修改root密码：

passwd

2）查看管理口IP：

ifconfig

3）临时修改管理口IP：

ifconfig管理口网卡名192.168.0.199/24

4）修改管理口IP：

ee/conf/ifadmin.conf

修改好之后按esc键，选择a）leaveeditor按回车，离开编辑，再选择a）savechanges保存修改，然后重启设备。

5）查看WEB界面密码：

cat/usr/ramdisk/admin/.htpasswd

6）修改web界面密码：

ee/usr/system/admin/.htpasswd

修改好之后按esc键，选择a）leaveeditor按回车，离开编辑，再选择a）savechanges保存修改。

7）添加数据网卡：

注意，添加了数据网卡后，原有的license会失效，必须重新授权。

ifconfig找到新加网卡的网卡名

然后编辑PG.conf文件,ee/etc/PG.conf，将新网卡加入数据网卡

然后退出，保存，重启设备。

、

8）panaos服务的启动和停止：

/usr/system/bin/ipectrlstart启动panaos服务默认开机后是启动的，

/usr/system/bin/ipectrlstop停止panaos服务停止后，软件停止工作，数据网卡会不通，web界面都会登录不了。

9）ping命令

PingIP这个ping是由管理网卡发出去的，因此这里检查的是管理口的网络情况。

3floweye命令

3.1floweyeif命令集合：

1）查看数据网卡状态：

floweyeifstat

可以查询各个数据网卡的流量情况

主要看bps-inbps-outpps-inpps-out这四个数值

2）检查em0网卡是否丢包:

floweyeifstatem0|grepMissed

多运行几次，MissedPackets如果不为0，说明曾经有过丢包，但是这丢包也许是拔插网线时候产生的，关键是要看MissedPackets的数值是否增长，如果增长表示当前有丢包，这样是有问题的，一般是硬件性能不足导致，如果MissedPackets不变说明没有丢包。

3）检查em0网卡是否有roc错误：

floweyeifstatem0|greproc

Panabit的数据网卡MTU默认是1500，如果数据包的大小大于1500，就会出现roc错误，MTU大于1500的数据包会被丢掉，可以在PG.conf文件里添加一条配置调整数据网卡的MTU值，ETHERMTU=15XX，这个是修改所有数据网卡MTU。

重启生效。

4）检查em0网卡是否有crc错误：

floweyeifstatem0|grepCrc

一般是物理问题比如网卡，模块，网线，尾纤等等有问题，会导致Crc错误产生，这是一个比较严重的问题。

5）查看数据网卡列表：

floweyeiflist

Inside/outside表示数据网卡设置是接内网/接外网

Up/down表示物理接口状态

Panaos表示网卡驱动是经过优化后的增强型驱动

6）将网桥设置为bypass状态

floweyeifsetname=em0bypass=1，默认值是0

将数据网卡设置成bypass状态，一般是将一对网桥的两数据网卡设置为bypass状态，来检查排查设备故障。

7）测试硬件性能：

floweyeifsendpkt网卡名30064

比如我们要测试em0-em5这些网卡的性能

先把em0-em5每2个设置为一个网桥

后台执行

floweyeifsendpktem030064

floweyeifsendpktem130064

floweyeifsendpktem230064

floweyeifsendpktem330064

floweyeifsendpktem430064

floweyeifsendpktem530064

这样每个网桥之间会互相发包，300条连接，每个包的大小是64K，（包越大测试出来的流量越大）

每个网卡都应该能看到流入和流出的速率才是正常的，否则就是有问题。

3.2floweyedpi命令

1）调整移动终端老化时间

floweye mobile config ttl=NN

2）关闭主动探测，主动探测开启的时候可能会引起局域网打印机多打1张纸

floweye dpiconfigxping_enable=0默认是1

3）启用智能节点跟踪

floweyedpiconfigp2p_sntrack=1默认值是0

4）进一步分析http代理的流量

floweyedpiconfigtrack_httproxy=1默认是0

3.3floweyenat命令

1）查看所有虚拟线路的状态

floweyenatlistproxy

以第一条的前四个字段为例

rtif1LAN011em0192.168.0.1255.255.255.0015001.91G14.13G157.13K49.50K001enable

第一个字段rtif线路类型：

rtif表示LAN接口，posvrif表示PPPOE接口

第二个字段1是线路ID

第三个字段LAN01是线路名称

第四个字段em0表示这个线路对应的物理接口

2）重新设置线路名称，有时候线路名称设置了特殊字符，会导致这个条线路无法修改和删除，需要用这个命令修改线路的名称。

floweye nat setproxy name=wan-id newname=newnameffng

Floweyenatset线路类型name=线路IDnewname=新的名称

3）开启增强型代理

floweyenatconfigtpflow_enable=1默认应该是1

4）将进来的数据包不是对应线路的VLAN数据包丢弃，通常我们在线路里会看到异常数据包，异常数据包的种类有四种，if，valn，nullvlan，arp。

当进入这个线路的数据包所带的VLAN标签与线路设置不符合的时候，PA会记录下这个情况，记录在异常数据包的vlan这一项，默认情况PA一样会接收这样的数据包，并且根据策略转发，通常不影响网络运行，但是有些时候，这样的情况也会引起一些网络异常。

因此，我们通过这个命令将进来的数据包不是对应线路的VLAN数据包丢掉。

floweye nat setproxy name=7 drop_dummyvlan=1

5）因为代理的不同阶段在可能不同的CORE上执行，但是在判断超时时，需要一个统一的时钟ticks，不同的CORE的ticks没法保证同步，特别是在初始化的时候，因为是在FLOWCORE上执行，所以nextick是FLOWCORE的，但是在空闲检查过程中，使用的是另外的CORE，这样因为TICK不同步导致存在偏差，有可能会过早判断超时；为了解决这个问题，使用这个命令将TICK统一放到空闲检查过程中；默认为0；

floweyenatconfigtpflow_ticksync=1

6）清楚DNS牵引的计数，在界面里也能操作，但是当线路较多的时候，通过命令更快捷。

floweye nat config cleardns=线路ID

7）调整判断心跳IP不通时间

floweye nat config natproxy_xpwatchdog=6 

8）修改线路名称，当在web界面设置线路的时候，使用了一些特殊字符导致乱码，而且在web界面无法对这条线路进行操作，这个是因为shell对一些特殊字符敏感造成的，我们需要在后台对这个线路重新命名来解决这样的问题。

floweye nat setproxy name=wan-id newname=newnameffng

9）调整DNS统计失败的时间，使用DNS管控重定向时，当DNS服务器没有返回DNS解析结果，或者延迟较大时，我们会认为DNS牵引失败，可以通过这个命令调整DNS解析超时时长。

floweyenatconfigrdrflow_ttl=10

10）列出所有NAT会话

floweyenatlistflow

3.4floweyeapp命令

1）开启WWW增强代理，当要分流网页的时候，要开启这个效果才好，这个在系统维护--高级功能里可以设置

floweyeappsethttptrackdns=1默认值是0

2）列出所有应用的英文和中文名称

floweyeappshowtreeall

3）忽略应用节点，当因为误识别，并且将节点记录到了某个应用上的时候，可以使用这个命令忽略这个应用的节点跟踪。

floweye app setappnameignore_node=1

4）开起应用的节点跟踪，自定义协议默认是不做节点跟踪的，通过这个命令开启它。

floweyeappsetappnamecachesn=1

5）关闭某协议的增强代理，当某个应用不需要被增强代理，或者不能被增强代理的时候，使用这个命令关闭这个应用的增强代理。

floweye app set appnamedisable_tcproxy=1 

3.5floweyepppoesvr命令

1）调整内网PPPOE用户掉线后的老化时间，同时也调整WEB认证用户的老化时间。

某个PPPOE用户无流量的时候超过120秒（默认值），PPPOESERVER会认为这个用户不在线了。

就会对这个用户进行踢线操作。

我们可以用这个命令调整这个时间的大小。

floweyepppoesvrconfigdatattl=30

2）在使用radius认证的时候使用，当用户是异常下线，在radius那边确没有下线，radius不允许同账号拨号的时候，在PA上后拨的会踢掉先拨的，这样保证用户能及时上线，这个是默认的逻辑。

但是在一些特殊情况，比如账号密码泄露，管理员只希望让先拨上的用户上线，后拨的无法上线。

那么我们就通过这个命令改变这个逻辑。

floweyepppoesvrconfigradius_keepfirstclnt=1

3）后续登陆的用户会收到691错误，这个只针对本地认证。

在使用本地认证的时候使用，当用户是异常下线，比如客户重启了路由，在Panabit上没有收到下线的请求，为了保证用户能及时上行，同个账号后拨的会踢掉当前在线的。

这个是默认的逻辑。

我们可以通过这个命令改变这个逻辑。

floweye pppoesvr config relogin_refuse=1 

3.6其它命令

1）floweyepingcount=100if=7ip=114.114.114.114 

第7条线路ping114.114.114.114100次

2） floweye gtpdata config enable=1

进一步识别gtp流量

3）floweyeflowsetargdropflow_ttl=5

设置连接数控制阻断连接的老化时间

4）floweye flow setarg trackicmp=0 

关闭icmp跟踪  但是这样的话，ICMP只在网桥下才会通

5）floweye appobj config default_ttl=NNN 

虚拟身份的老化时间

6）floweyeflowremove src=n.n.n.ndst=m.m.m.msport=nnndport=mmmproto=tcp|udp

删除指定的某条连接，这个在某些特殊情况下要用到

7） floweye policy setgbw bridge=4 name=your-nameinbw=0outbw=0

修改桥线路的名称

8）floweyepppoeacctlist

查看PPPOE在线的用户

9）floweye jflow config ipobj_install_all=1

把从外面来的流量，也会创建内网IP对象，可以用来查外网攻击

10）floweye radius config dump_if=emX

将RADIUS数据包镜像给emX

11）floweye flow setarg syn_waitime=60

调整syn连接的老化时间

12）floweyeicmpproxyconfigdelayus=10-20

开启icmp劫持，默认值是0-0，表示关闭。