转眼间,2026即将过半。
相信大家也感受得到,最近我们版本更新的节奏,要比以往更克制了一些。 但慢归慢,每一次更新,都是带着实打实的干货来的。 这一次也不例外。 Panabit TANGr7p9版本,在高可用、IPv6访问、共享检测以及无线安全等几个方向上,都做了一些关键加强。 下面我们挑几个重点,一起简单聊聊。 Update VRRP重构 让主备切换真正具备感知能力
提起VRRP,搞网络的都不陌生。 两台设备一主一备,平时由主设备(Master)承载业务流量,一旦主设备故障,备设备(Backup)自动接管,确保网络不中断。 这是网络高可用(HA)最常见的实现方式之一。
不过,设备本身毕竟没那么容易坏,更多时候出问题的,还是线路。这时设备仍然在线,状态还是Master,但业务实际上已经中断。
传统VRRP示意
传统VRRP的局限就在于,更依赖“设备是否存活”,而不是“业务是否可用”。
在新版本中,我们对VRRP模块进行了整体重构,让高可用真正围绕网络运行状态展开。
▎让VRRP学会感知链路
这次升级最大的变化,是把链路健康状态纳入VRRP优先级体系。
除了看设备状态,Panabit还能根据链路监测结果动态调整优先级:
链路正常时保持默认优先级,一旦链路异常,自动下调到故障优先级,等链路恢复后再自动切回。
新版VRRP示意
我们知道,VRRP的主备关系通过优先级决定,谁的优先级更高,谁就是主设备。
优先级一旦变化,VRRP的标准抢占机制随之生效,从而完成主备切换。
这种“主动退让”的机制,既保持了VRRP的标准兼容性,也让它从“双机热备”,走向“链路感知型高可用”。
那么,新版本VRRP能感知哪些链路呢?
除了设备自身状态外,物理网卡、WAN/LAN线路、链路聚合接口以及线路群组,都可以加入监测列表。
你还可以选择某条链路故障时立即切换,或者全部链路异常后再切换,适配不同可靠性要求的场景。
▎无感切换后的快速收敛
主备切换只是第一步,更重要的是业务能够快速恢复,也就是我们常说的收敛。 一方面,Panabit的待机联动机制,让设备切换到备机后,自动切断所有内外网流量,确保切换过程不留尾巴。 “!”标志提醒该线路已配置待机联动,并非表示存在异常 另一方面,新版本实现了IPv4与IPv6的双栈状态联动。 主备切换后,同步下发免费ARP与NA报文(与IPv4免费ARP类似),主动通知下游设备更新状态,缩短业务恢复时间。
同时,链路变化、优先级调整以及切换过程中的关键事件都会统一记录,方便后续排查和故障定位。
总之,新版VRRP让主备切换可以随网络状态变化自动调整,并在切换后更快恢复业务流转。
Update IPv6代理访问 单栈IPv6,也能访问IPv4网络
随着IPv6的普及,不少高校、政企单位也开始尝试建设单栈IPv6网络,内部系统、终端设备逐步完成升级。 但尴尬的是,内网是改造完成了,但互联网上还有大量只支持IPv4的网站。
TANGr7p9版本新增了IPv6代理访问(IPv6转IPv4)功能,让IPv6终端可以像访问IPv6服务一样访问IPv4网站。
当用户访问的网站尚未支持IPv6时,Panabit可以通过DNS代理与NAT64机制,自动完成IPv6与IPv4之间的代理转换。对终端来说,整个过程是透明的。
除了基础的转换,新版本还增加了按域名进行强制转换的能力。 我们可以指定一些网站,让其直接通过IPv4链路进行访问。即使目标网站提供了IPv6服务,也可以绕开质量不稳定的IPv6路径,保证访问体验。
从效果上看,这项能力解决的是访问连续性的问题。无论外部网站是否支持IPv6,内部网络都可以保持单栈IPv6架构,对用户来说,访问体验没有太大区别。
这也意味着,IPv6网络不再必须依赖双栈部署,而是能够逐步具备独立承载互联网访问的能力。
Update 共享检测升级 识别更高效,管控更灵活
在校园网、运营接入场景中,共享上网一直是一个绕不开的问题。 新版本对共享检测模块进行了多项关键优化:
更高效的模糊识别 无需精准区分每个终端的类型(移动终端或PC),基于流量行为特征快速判定终端个数,大幅提升检测效率。 更精细的管控维度 可基于IP、账号两个维度,分别设置冻结阻断策略与信任列表规则。 多样化的治理手段 除了直接断网,新版本还提供了弹窗提醒、限速策略等配套能力,让管理手段更具弹性。
Update 无线安全升级 802.1X + 无线入侵防御 Panabit内置无线AC,与小派AP配合,可以实现无线网络的集中管理。 新版本在无线管理能力上做了两方面增强: 802.1X认证统一管理 将802.1X认证能力收敛到网关侧统一配置,并向 全网AP统一下发,提升大规模无线网络运维效率。 无线入侵防御 提供两种工作模式,进一步提升无线网络的安全性。 ● 非法SSID扫描:探测周边异常无线信号; ● 无线反制模式:对非法接入终端进行链路层阻断。
Update 更多功能优化
● 服务器负载扩容 接入服务器数量上限提升至4096,更适合大型IDC及多节点业务集群部署。 ● 服务器名称扩容 服务器名称最长支持31个中文字符,方便大规模业务环境下的精细化命名管理。 ● 威胁情报告警优化 微信告警支持按情报类型和告警阈值触发,减少无效告警带来的消息干扰。 ● 域名群组命名规范化 限制群组名称不能包含%*|;,/:"<>?等符号,避免特殊字符导致导出异常等问题。 ● LAN口多VLAN支持 LAN接口支持批量绑定多个VLAN,并优化ARP广播机制,提升复杂网络环境下的转发效率。 ● GREWAN支持域名配置 GREWAN线路对端地址支持填写域名,适应动态IP场景下的广域网组网需求。 ● 短信认证优化 短信验证码支持8位大小写字母与数字组合,提高Portal认证安全性。 ● TLSVPN识别 DPI引擎新增TLSVPN流量识别控制开关,强化加密隧道流量识别能力。 ● DPI自定义端口优先级 新增自定义端口规则优先生效模式,实现端口规则与DPI识别优先级的灵活切换。 ● 天翼APP认证适配 优化嗅探对接模块,对天翼探测APP账号关联进行更新,满足认证对接要求。 ● 安全组管理 安全组新增命令行管理能力,支持自主增删改查及用户关联多个安全组。 ● 自定义威胁情报命名 用户可按需修改自定义情报的展示名称,方便区分不同来源的情报数据。 ● 攻击防护策略支持Cookie UniSASE攻击防护策略新增Cookie标识机制,便于第三方平台进行自动化对接和管理。 ● Radius支持NAS-PORT-ID 支持基于Circuit-ID、Trunk及QinQ信息生成Radius 87号属性,满足运营级AAA对接需求。 ● 代拨对接优化 扩展深澜对接能力,可按需发送普通下线报文、代拨计费报文及携带下线原因的DM报文。 ● 背板网卡支持巨帧 AX150、AX6088C、PX7C、PX30C等型号背板网卡支持9000字节巨帧传输,提升大流量业务转发效率。
Update 页面与运维优化
● 安全组页面 在线用户、账号管理等页面新增安全组展示与过滤能力。 ● IP/MAC绑定调整 新增备注信息展示,并优化菜单位置,提升日常运维效率。 ● 策略路由组 增加策略组禁用确认提示,同时禁止对默认策略组进行编辑,避免误操作。 ● iWAN账号组 针对iWAN账号完善过期策略控制逻辑,满足不同运营管理需求。 ● UniSASE界面精简 支持通过环境变量隐藏特定功能页面,适配不同项目场景的界面管理需求。
Update 特征库更新
● 新增“LobsterAI”等103种应用 ● 更新“QClaw”等42种应用
Update 下载地址
访问Panabit官网下载中心获取: https://www.panabit.com/download 下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(专业版/网吧版/SMB版/流媒体版/标准版)。 其中,ARM架构的Panabit(如AX50系列),请选择ARM的版本进行下载。