Panabit开发指南XX0830.docx

《Panabit开发指南XX0830.docx》由会员分享，可在线阅读，更多相关《Panabit开发指南XX0830.docx（39页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、l.Panabit 开发指南 XX0830系统诊断命令要紧用来对硬件配置及性能进行诊断，目前要紧提供下列诊断功能：1 ) HT ( Hyper Threading )问题诊断2)硬件性能评估HT 问题诊断(jflow stat)Panaos在某些打开了 CPU HT ( Hyper Threading )选项主机上CPU调度功能不能正常工作，要紧表现为数 据处理CPU不能正确切换,因此，要想确保Panaos的调度能正常工作，通常需要在BIOS里关闭HT。通过jflowUaf命令能够发现Panaos的调度是否正常工作。下面是执行一次该命令的屏幕输出：# floweye jflow statjfl

2、ow_pkt_ count=0jflow_loop_ count=404695071jf/o w_ mbuf= 0x0jflow_stage=21event_qsize=2047event_count=0 event_reader=O event_ writer=O要紧看忆这个计数器，假如在两次命令执行之间，这个参数一直没有变化，或者者第一次执行时，这个参数为0 ,那么就表示Panaos的调度没有正常工作，HT确信被打开了 ,需要在BIOS里将HT关掉。1.1 硬件性能评估(if sendpkt)为了方便合作伙伴快速并方便的诊断自己采购的硬件设备的性能，Panabit在10.04版本中集成了一

3、个用来测 试设备网络性能的工具，这个工具由if sendpkt来触发。下面先介绍一下如何构建测试的环境。构建测试环境的工作很简单，只需要被测试机与一根或者几根网线即可。假如想测试设备上emO与e/77l两个 网络端口之间的性能，能够如下实现：1)将emO与eml设置成网桥模式(注意：务必属于同一个网桥)2 )将emO与eml用网线连接起来2.6 IP群组i）添加ip群组floweye table add 群组名称2 ）删除IP群组floweye table remove 群组序号1）添加IPfloweye table addip群组序号添加的IP2 ）删除IPfloweye table rmv

4、ip群组序号添加的IP群组序号是根据IP群组名称下拉列表从上而下，从1开始依次加13.配置管理Panabit的配置管理要紧包含：1）网络配置2）应用参数配置3）节点管理4）内网伪IP防护5）网桥带宽配置6）内网IP统计选项配置网络配置(ifconfig,route,if setfem setspeed )Panabit的网络配置方面比较简单，要紧包含:1）管理口配置2）数据口配置管理口由FreeBSD直接管理，因此它的配置是使用FreeBSD的ifconfig （配置接口）与route （配置路由） 命令。比如，将管理口 fxpO的IP地址配置成，使用下面命令即可做到：#ifconfig 或者

5、者ifconfig m痣命令用来增加或者删除路由，比如下面的命令用来添加缺省网关为192.168.1.1 :数据口要紧使用floweye的if set命令，它的使用方法如下：If set name=if-name mode=n zone=inside/outside其中：1）方为网卡名称，如em0, eml等等;2 ） ”。决为网卡模式，0表示监控模式，1 , 2 , 3与4分别表示网桥1 ,网桥2 ,网桥3与网桥4 ;3 ） ZO/7S表示网卡接入位置，inside表示接内网，outside表示接外网；假如数据接口是Intel千M卡（比如82571/2/3/3/5/6芯片），那么能够使用em

6、 s”卯eed命令设置网卡的 协商模式（如自动协商、强制1000M全双工等 e/n 班eed命令使用方式为em setspeedif-name speed, 其中：1 ） /f/7吸77为网卡名称，如emO, eml等；） speed为网卡协商速率设置，auto表示自动协商，1000LX表示单模强制全双工，1000SX表示多模强制 全双工,1000T表示电口强制全双工;需要注意的是，设置网卡协商模式命令发出后，Panaos会reset网卡，因此会出现短暂的断网，请尽量避免 在有高流量的时候做设置。3.2应用参数配置（app set）关于每个应用协议，目前有三个标准参数可供配置:1）连接老化时间

7、，指连接没有通过流量时的最大生存时间，以秒为单位。2）节点老化时间，指节点没有新建连接时的最大生存时间，以秒为单位。3）是否缓存节点，指是否缓存节点，游戏协议通常会打开此选项。app s”命令格式为：app set app-name flowttl=nnn nodettl=nnn cachesn = yes/no其中，flowttL nodettl与cachesn分别对应上述三个参数。3.3 节点管理（node add, node remove ）节点在Panabit中是一个很重要的概念，它对性能的提升有着很重要的作用。所谓节点，实际上就是一个IP 地址与端口的二元组，比如一个游戏服务器的IP

8、地址与端口。Panabit所识别的很多应用协议都打开了节点缓存功 能，在某些极端情况下，节点缓存会导致一些误识别，在出现这样的情况下，能够通过node add命令强制将误识 别的节点修正或者使用odee/noi/e强制将它删除。它们的使用方法如下：node add ip-address port app-name typenode remove ip-address port其中：1 ） /0-a4cess为节点的IP地址2 ）夕。为节点的端口号3 ）邛卯-8/776为节点应用类型4 ）如e为节点的4层协议类型，如tcp表示TCP类型,udp表示UDP类型,both表示既是TCP ,又是UDP

9、内网伪 IP 防护（ip verify addipf ipverify rmvipjpverify clearipf ip verify enable, ipverify disable ）由于网络中病毒的问题，经常会出现一些恶意攻击包，其中有很多攻击包的源地址是伪造的，这些非正常的数 据包会给Panabit带来一系列的问题：1）内网IP池很快被耗尽，导致正常的IP流量不能统计。2）连接池很快被耗尽，导致正常的连接信息不能记录，因而无法分析网络流量。基于上述两个缘故，同时出于Panabit自身功能正常运转的目的，Panabit内置了一个内网伪IP防护模块。这 个模块的工作原理如下：1）用户通过

10、勿必”adcS命令将内网合法的IP地址或者IP段告诉Panabit2 ）当Panabit接收到一个IP包后，它先推断其源IP （假如是从内网卡进来的包）或者目的IP （假如是从外 网口进来的包）是否在合法IP表中，假如在，就进入正常的应用分析模块；假如不在，直接将此数据包当 做内网伪IP应用，进入策略处理模块。Panabit缺省情况下，对这种类型的数据包是做放行处理的，假如用户需要对此类数据包进行处理，就需要在 策略组中添加相应的处理策略。另外，在缺省情况下，内网伪IP防护模块是没有打开的，用户能够使用ipverify命令打开此模块，也能够使用ipverify的ab/e功能关闭它。需要注意的是

11、，假如打开此功能模块而没有将合法的内网IP地址或者 地址段告诉Panabit,那么正常的流量就会被Panabit标记成内网伪IP,从而影响设备的正常使用。用户能够使用ipverify addip将合法内网IP地址添加到IP池进行操作，比如：1 ） ,将 192.168.1.1 添加到池中2 ） ,将 192.168.1.1. 192.168.1.2 与 192.168.1.3 添加到池中3 ） ,将 整个 C 类网段添加到池中同样的，也能够使用ipverify rmvip来删除池中的某个或者某些IP地址，比如命令ipverify rmvip 192.168.1.1 将 192.168.1.1

12、从池中册！除。假如想一次性清空池中的所有IP地址，能够使用ipverify dearip命令,这个命令没有任何参数。3.5 网桥带宽配置（policy setgbw, policy getgbw ）我们经常碰到在某些特殊的环境下要对某种关键应用做带宽保证或者预留。Panabit在实现带宽预留或者保证 的时候采取的算法非常简单，就是从总带宽中抠出要预留或者保证的部分。假如要想做到这一点，Panabit就需要 明白系统的总带宽有多少，用户能够使用policy se物命令告诉Panabit。policy segbw命令的使用非常简 单：policy setgbw bridge=n in=nnn ou

13、t=nnn name=xxx其中：1 ) 6成句e参数让用户选定网桥，1 , 2 , 3与4分别表示网桥1、网桥2、网桥3与网桥4 ;2 ) in参数设置网桥的下行带宽；3 )参数设置网桥的上行带宽；4 ) “ame参数是可选的，用来设置网桥的名称；所有带宽参数的单位均为kbps ,因此1000就表示1Mbps。假如想获取这些参数，则能够使用。生rge幽w命令，这个命令的输出很简单，在此就不再赘述了。3.6内网IP统计选项配置(ipobj setarg )在专业版里，内网IP统计选项缺省时关闭的，假如要打开这个选项，就需要是用ipobjsetarg命令,它的使 用方式如下：ipobj seta

14、rg enable=llO ttl=nnn其中：1 )选项表示是否打开内网IP统计功能，1表示打开，0表示关闭) /用来设置内网IP的老化时间，当在如今间内没有流量时，系统就会将IP地址从表中删除，廿/的单位为 秒,系统缺省值是1800秒。4.日志管理与接口Panabit目前能够向外界输出其记录下来的行为，输出方式有：1)以NETFLOW石格式输出给netflow服务器2 )以及本方五输出给syslog服务器3 )以专府趋同输出给Panabit日志服务器或者第三方提供的服务器我们能够将Panabit的日志根据内容简要分为两大类：1 ）网络事件。比如连接终止,URL访问,QQ登陆与退出,MSN登

15、陆,POP3登隼DNS查询；2 ）网络流量。比皿应用协议流量,内网IP流量。目前Panabit对下列行记录：1）连接终止。每条连接信息包含连接创建与结束的时间，4层协议5元组（源地址，目标地址，源端口，目 标端口，协议），应用协议信息（应用类型，流量4 ） URL访问。记录URL访问记录，比如哪个IP在何时访问了哪个网站的哪条URLO） QQ登陆与退出。记录QQ用户登陆与退出的日志，比如哪个IP何时通过什么样的QQ号码登陆到哪个服 务器。5 ） MSN登陆。同上类似。6 ） POP3登陆。同上类似。7 ） DNS查询。记录用户访问DNS记录，比如哪个IP何时通过哪个DNS服务器查询了哪个域名。

16、4.1 网络事件日志配置(logger configf logger stat)/ogge/co的r命令的使用方式如下:logger config argl - value1 arg2= va!ue2argN= valueN目前支持下面的参数:1) logflow=nonelsysloglnetflow;2 ) logqq=nonelsysloglmem;3 ) logmsn=none/sys/og/mem;4 ) Iogpop3=nonelsysloglmem;5 ) logdns=nonelsysloglmem;6 ) sys!og_ serve rip =xxx.xxx.xxx.xxx,

17、 SYSLOG 月艮务器 IP 地址。7 ) sys!og_serverport=nnn, SYSLOG 服务器端口。8 ) z NETFLOW 月员务器 IP 地址。9 ) netf!ow_serverport=nnn , NETFLOW 月员务器端口。在上面参数中J none!1表示不记录日志； syslo表示以SYSLOG方式输出日志； etfloW表示以NETFLOW v5格式输出日志； memn表示将日志输出到buffer中。比如：配置QQ事件floweye logger config event=qq logtype=syslog logip=日志服务器IP logport=日志服

18、务器端口其中各个域之间通过一个空格隔开其它事件类型如下：MSN 事件：event=msnDNS 事件：event=dnsPOP3 事件:event=pop3用户认证事件：event=usrauth共享用户检测：event=natip节点跟踪事件：event=ipnodeurl 事件：event=url连接撤销事件：event=flow飞信登录事件：event=fetion淘宝登录事件：event=taobao新浪微博事件：event=sinaweibo流量日志配置如下：floweye logger*二日志服务器址bggejport二日志月艮务器端口 loggerjnternal=发送时间间隔各

19、个域之间通过一个空格隔开发送时间间隔以秒为单位配置完后，用户能够通过/。99$力于命令查看当前各个参数的值，/。996，*3的输出比较简单，这里就不 举例了。4.2 显示缓冲区中网络事件日志信息(logger dumpbuff logger clearbuf)有的时候为了调试或者其它某种目的，需要将日志信息储存到某个缓冲区中，并显示储存在该缓冲区中的信息。 Panabit能够通过logger config命令的参数来操纵相应的日志内容是否储存中，假如对应的参 数是1,则表示储存在内存中；否则就通过SYS LOG输出到SYSLOG服务器上。用户在设置了上述选项后，能够使用火仇/，命令查看储存在该

20、缓冲区的所有日志内容。能够通过 logger命令清晰缓冲区中的所有日志信息。需要注意的，一旦该缓冲区已满，后续的日志将会被丢弃，而不是覆盖老的日志，同时，logger dumpbuf 命令也不可能自动清晰缓冲区的内容。4.3网络事件日志内容格式网络事件要紧以SYS LOG或者NETFLOW格式输出，其中SYSLOG居多(目前只有连接终止事件才会使用NETFLOW v5 格式 当使用SYSLOG方式输出事件日志时，每个时间占用一行，同时以字符串开始，后面跟描述时 间内容的字符串。假如SYSLOG服务器是共用的话，用户能够将这个字符串作为标识，表示这个来自于Panabit 设备的时间日志输出。注意

21、，n为设备标识(请看4.6 ),是用户设置的一个整数，缺省值为0oQQ登陆退出事件QQ登陆事件：=qqlogin ” +登录时间+ QQ号码+登录地址+登录服务器地址QQ退出事件：=qqlogoff +登录时间+ QQ号码+登录地址+登录服务器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)登录时间：登录时的时间，一个以秒为单位的整数字符串QQ号码：一个整数字符串(3)登录地址:QQ登录的计算机IP地址，格式为的字符串(4)登录服务器地址:QQ服务器地址，格式为的字符串4.3.1 MSN登陆事件MSN登陆事件:=msnlogin +登录时间+ email 1 +登录地址+登录服务

22、器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)登录时间：登录时的时间，一个以秒为单位的整数字符串(2) ema解号：用户的MSN帐号(3)登录地址:MSN登录的计算机IP地址，格式为的字符串(4)登录服务器地址:MSN服务器地址，格式为的字符串4.3.2 DNS直询事件QQ查询事件：=dnsquery ” +查询时间+域名+源地址+ DNS服务器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)查询时间：查询时的时间，一个以秒为单位的整数字符串(3 )源地址:客户机的地址，格式为的字符串(4) DNS服务器地址:DNS服务器地址，格式为的字符串POP3登陆事件PO

23、P3登陆事件:=pop3login +登陆时间+账号+源地址+ POP3服务器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)登陆时间：登陆时的时间，一个以秒为单位的整数字符串(2)女号：登陆时使用的账号(3 )源地址:客户机的地址，格式为的字符串(4) POP3服务器地址:POP3服务器地址，格式为的字符串4.3.3 URL访问事件URL访问事件：=+访问时间+源地址+ “GETIPOST + HOST + URL其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)访问时间:登陆时的时间，一个以秒为单位的整数字符串(2 )源地址:客户机的地址，格式为的字符串(4) URL

24、 :如/forum/index.php认证事件认证事件:=usrauth +登陆时间+源地址+账户+ mac地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)访问时间:登陆时的时间，一个以秒为单位的整数字符串(2)源地址:客户机的地址，格式为一个点分制字符串(3 )账户:如 (4 ) mac:客户机的mac地址应用节点事件应用节点事件：=ipnode +节点时间+节点地址+节点端口号+应用标识其中各个域之间通过一个空格隔开,各个域分别描述如下：Q)节点时间.节点获取时间，一个以秒为单位的整数字符串(2)节点地址:节点地址，格式为端口:节点端口号闿应用编识:一个整数标识3 ）使用se

25、中射命令发种子包4 ）使用staf命令查看实时emO与eml上的实时统计结果命令格式如下：If sendpkt if-name packet-num packet-size其中：1 ） if-name :网卡的名称，比如emO或者eml2 ） packet-num :发送种子包的个数，通常使用32或者643 ） packet-size :发送种子包的长度，比如64、128与256等等比如：if sendpkt emO 32 64,就表示发送32个长度为64字节的UDP数据包（注意,Panabit使用UDP 数据包作为测试种子包，目前还不支持其它类型的数据包1使用这个命令后，就能够测试从到的2方

26、向上 的64字节数据包时的性能。假如想同时测试两个方向的性能，只需要执行一次if sendpkt eml 32 64命令即可, if stat命令会显示两个方向上的统计结果。假如只想测试硬件的裸体性能（就是不通过Panabit业务逻辑），能够在执行if sendpkt命令之前,先将网卡 设置成软件bypass模式（注意不是硬件bypass ）,具体命令如下：# floweye if set name=emO bypass=l# floweye if set name=eml bypass=1.对象统计分析根据又燥类型，网络流量统计命令能够分为几个大类：1）网卡流量统计：统计网卡流量与收发包信息

27、2）应用流量统计：统计应用或者应用组流量信息2 ） IP流量统计：统计某个内网IP流量信息3 ）应用对象统计：统计QQ号码，MSN账号与共享用户等信息5）数据库信息显示共享用户检测事件共享用户检测事件;natip +时间+IP地址+私有IP地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(1)时间：检测到事件的时间，一个以秒为单位的整数字符串IP地址:网关地址，格式为(3)私有IP地址:路由器后私有地址，格式为飞信登陆退出事件飞信登陆事件：=fesion +登录时间+飞信账号+登录地址+登录服务器地址 飞信退出事件：=fesion,r +登录时间+飞信账号+登录地址+登录服务器地址 其

28、中各个域之间通过一个空格隔开,各个域分别描述如下：(5)登灵的间：登录时的时间，一个以秒为单位的整数字符串(6 )飞信账号:一个整数字符串(7)登录地址:飞信登录的计算机IP地址，格式为的字符串(8 )登录服务器地址:飞信服务器地址，格式为的字符串淘宝登陆退出事件淘宝登陆事件：=taoba。” +登录时间+淘宝赈号+登录地址+登录服务器地址淘宝退出事件：=taobao +登录时间+淘宝账号+登录地址+登录服务器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(9)登灵励m：登录时的时间，一个以秒为单位的整数字符串/转婿号：一个整数字符串(11)登录地址:淘宝登录的计算机IP地址，格式为

29、的字符串4.3.8 新浪微博登陆退出事件“sinawb” +登录时间+新浪微博账号+登录地址+登录服务器地址“sinawb” +登录时间+新浪微博账号+登录地址+登录服务器地址其中各个域之间通过一个空格隔开,各个域分别描述如下：(13)登录时间:登录时的时间，一个以秒为单位的整数字符串(14)痂混微覆贩号：一个整数字符串(15)登录地址:新浪微博登录的计算机IP地址，格式为的字符串(16)登录服务器地址:新浪微博服务器地址，格式为的字符串4.4网络流量日志配置前面我们说过，网络流量日志目前要紧有下面几种类型：1)应用协议流量与连接数2)内网IP流量与连接数Panabit会将上述流量信息传送给P

30、anabit日志服务器。服务器的IP地址与端口能够通过logger config命 令进行配置：logger config togger_ ip =xxx.xxx.xxx.xxx logger_port=nnn其中：1 ) loggerjp :这个参数用来设置日志接收服务器的IP地址；2 ) logger_port:这个参数用来设置日志接收服务器接收流量的UDP端口 ；4.5网络流量日志内容格式网络流量日志通过UDP报文传送给日志服务器，每个UDP报文包含一个报文头，1N条相同类型的流量记录。报文中所有的整数格式数据都是Little Endian (即同X86字节序一样)，因此只要日志服务器是

31、X86的，就不需要做字节转换报文头 记录1记录2记录N4.5.1 报文头格式字段名字节（类型）字段缺省值备注tag03 ( char)PNBO报文类型标记device45 ( u_intl6_t)0设备标识type6 ( u_int8_t)0报文后面记录的类型，1表示应用流量类型记录 （4.5.2）;2表示IP流量类型记录 （4.5.3 ）;3表示GN版本会话日志记录 格式（4.5.4 ）;4表示WLAN版本会话日志 记录格式（455 ）;5表示拓明需要的RADIUS信 息格式（暂时未提供，保留）； 6表kGN （GTP解G马）版本 会话日志记录格式（456）, 7保留；8表示WLAN版本IP

32、流量类型记录（详见457）255（ Oxff ）表示会话记录（详见 458 ）num7 ( u_int8_t)0记录个数seq8U ( u_int32_t)0数据包的序列号，发送时以递增的顺序发送，接收方能够通过此序列号推断丢包情况time1215( unt32_t)0最后时刻（秒）注意：当type为Oxff时,time被忽略internal1617( u_intl6_t)0统计间隔（秒）注意：当type为Oxff时,internal被忽略ten1819( ujntl6_t)0报文长度（字方数），不包含报文头应用流量记录格式字段名字节（类型）字段缺省值备注apid01 ( ujntl6_t)0

33、应用编号Unkid23 ( ujntl6_t)00表示监控模式链路，14分别表示网桥1至网桥4,58分别表示虚拟链路1至虚拟链路4fl owe nt47 ( u_int32_t)0最后时刻统计到的连接数upbytes8-15 ( u_int64_t)0上行流量（字节）downbytes16-23( u_int64_t)0下行流量（字节）4.5.2 内网IP流量记录格式字段名字节（类型）字段缺省值备注ipaddr03 ( u_int32_t)0IP地址flowcnt45 ( u_intl6_t)0最后时刻统计到的连接数apid67 ( u_intl6_t)0应用标识，Oxffff表示所有应用In

34、bytes8-11 ( u_int32_t)0流入流量（字节）outbytes1215( u_int32_t)0流出流量（字书）4.5.3 GN版本会话记录格式每条记录包含固定部分与可变部分，固定部分包含如下内容：字段名字节（类型）字段缺省值备注sgsnjp4(u_int32_t)SGSN IP地址，网络字节序ggsnjp4(u_int32_t)GGSNIP地址，网络字节序start_time8(u_int64_t)0会话开始时间，以US为单位，这个值是从duration_time8(u_int64_t)0会话持续时间,以US为单位transfer_time8(u_int64_t)0应用层业务

35、数据传输时间，以US为单位userjp4(u_int32_t)用户IP,以网络字书序存储serverjp4(u_int32_t)服务端IP,以网络字竹序存储user_port2(u_intl6_t)0用户端口，以网络字节序存储server_port2(u_intl6_t)0服务端端口，以网络字节序存储protol(ujnt8_t)0协议，TCP或者UDPpad8l(ujnt8_t)0补充对齐用appgrpid2(u_intl6_t)0应用所属大类编码，比如P2P , IM等等appid2(u_intl6_t)0应用类型编码othersize2(u_intl6_t)0可变长度部分数据的长度gtp

36、uptraffic8(u_int64_t)0上行GTP LEN汇总gtpdltraffic8(u_int64_t)0下行GTP LEN汇总ulpacketnum4(u_int32_t)0整个颗上行包数dlpacketnum4(u_int32_t)0整个刽舌下行包数ultraffic4(u_int32_t)0上行IP总流量dltraffic4(u_int32_t)0下行IP总流量u Irate4(u_int32_t)0上行速率，单位bits/sd Irate4(u_int32_t)0下行速率，单位bits/sulmaxpacketlen2(u_intl6_t)0上行最大包长度ulminpacke

37、tlen2(u_intl6j)0上行最小包长度dlmaxpacketlen2(u_intl6_t)0下行最大包长度dlminpacketlen2(u_intl6_t)0下行最小包长度ulaveragelen2(u_intl6_t)0上行平均包长度dlaveragelen2(u_intl6_t)0下行平均包长度可变长度部分每项采取TLV结构(Type-Length-Value ),其中，Type与Length分别为16bit整数。其中Type有下面几种:Type类型备注1字符串2字符串3字符串WLAN版本会话记录每条记录包含固定部分与可变部分，固定部分包含如下内容：字段名字节(类型)字段缺省值备

38、注start_time8(u_int64_t)0会话开始时间，以us为单位，这个值是从end_time8(ujnt64_t)0回话结束时间，以US为单位duration_time8(u_int64_t)0会话持续时间，以US为单位start_event2(ujntl6_t)0详见event字典表last_event2(u_intl6_t)0详见event字典表targetjp4(u_int32_t)SP服务器或者代理网关的IPuser_ip4(u_int32_t)用户IP地址statusl(u_intl6_t)00或者1,0表示正常结束，比如正常FIN , 1表示不止常结束protol(u_i

39、nt8_t)0协议，TCP或者UDPtarget_port2(u_intl6_t)0服务端端口，以网络字节序存储user_port2(ujnt816_t)0用户端口appgrpid2(u_intl6_t)0应用所属大类编码，比如P2P , IM等等appid2(u_intl6_t)0应用类型编码othersize2(u_intl6_t)0可变长度部分数据的长度uljptraffic4(u_int32_t)0上行IP流量总与dljptraffic4(u_int32_t)0下行IP流量总与totalj ptraff ic4(u_int32_t)0上下行IP流量总与ul_maxiplen2(u_in

40、tl6_t)0上行最大IP包长度ul_miniplen2(u_intl6_t)0上行最小IP包长度ul_avgiplen2(u_int32_t)0上行平均IP包长度Sdl_maxiplen2(u_intl6_t)0下行最大IP包长度dl_miniplen2(u_intl6_t)0下行最小IP包长度dl_avgiplen2(u_int32_t)0下行平均IP包长度Sul_pktnum4(u_int32_t)0上行IP包数dl_pktnum4(u_int32_t)0下行IP包数total_pktnum4(u_int32_t)0上下行总包数total_udpnum4(u_int32_t)0总UDP包

41、数ul_avgbps4(float)0上行平均速率(bps)dl_avgbps4(float)0下行平均速率(bps)ul_rexmitrate4(float)0上行重传率dl_rexmitrate4(float)0下行重传率ul_fra grate4(float)0目前Panabit没有对分片重组，因此这个值无法计算dl_fragrate4(float)0目前Panabit没有对分片重组，因此这个值尢法计算ul_ooorate4(float)0上行乱序率dl_ooorate4(float)0下行乱序率可变长度部分每项采取TLV结构（Type-Length-Value ）,其中，Type与Le

42、ngth分别为16bit整数。其中Type有下面几种:Event字典表:Type类型备注1字符串2字符串3字符串Event 值Event描述123SYN4FINGN版本会话记录格式（GTP完全解码）每条记录包含固定部分与可变部分，固定部分包含如下内容:字段名字节（类型）字段缺省值备注msisdn8(u_int64_t)0ISDN号码imsi8 ( u_int64_t)0IMSI网卡流量统计(if stat, if get)imei8 ( u_int64_t)9IMEIcountry2(u_intl6_t)460国家代号net2 ( ujntl6_t)0网络代号lac2 ( ujntl6_t)0

43、LACrac2 ( ujntl6_t)0RACSac2 ( ujntl6_t)0SAC/CIrat2 ( ujntl6_t)0RATapn8 ( string )A0fAPN ,最长7个字右，最后以0结束sgsn_cip4(u_int32_t)SGSN操纵面IP地址，网络字书序ggsn.cip4(u_int32_t)GGSN操纵面IP地址，网络字若序sgsn_uip4(u_int32_t)SGSN数据面IP地址，网络字和序ggsn,uip4(u_int32_t)GGSN数据面IP地址，网络字书序start_time8(u_int64_t)0高32位是秒数，低32位存放的是微秒(us)数dura

44、tion_time8(u_int64_t)0会话持续时间，以us为单位transfer_time8(u_int64_t)0应用层业务数据传输开始时间，格式同start_timeuser_ip4(u_int32_t)用户IP,以网络字书序存储serverjp4(u_int32_t)服务端IP，以网络字节序存储If Ua?命令要紧用来查看网卡数据速率(bps),收发包速率(pps)与TCP、UDP与网卡上面的寄存器信息，它 的格式为：If stat if-name假如指定网卡名称(if-name ),则显示该网卡内部驱动所统计到的信息，比如寄存器信息，网卡队列信息等等。假如不指定任何网卡，则显示所有网卡的统计信息，下面是一个统计例子：ix3 9823.46M 9823.48M 959322 959324 0 0 9823.46M 9823.48M 0 0 959322 959324 0 0ixl 9823.48M 9823.46M 959324 959322 0 0 9823.48M