ISP 多年來一直為客戶提供 Internet 訪問權(quán)限，唯一的目標是將其用戶連接到 Internet。托管服務(wù)提供商 (MSP) 和托管安全服務(wù)提供商 (MSSP) 在客戶場所提供網(wǎng)絡(luò)、服務(wù)和基礎(chǔ)設(shè)施，并且在過去幾年變得相對流行。隨著時間的推移，客戶開始要求新的服務(wù)，包括流量監(jiān)控、安全（這里 MSSP 出現(xiàn)）和可見性。

因此，如果您是 MSP、MSSP 或 ISP，并且想知道如何使用 ntop 工具監(jiān)控客戶流量，那么這篇文章可以作為您的起點。

解決方案 1：具有靜態(tài)和非重疊 IP 的中心位置

您能想到的最簡單的解決方案如下圖所示：

對于每個提供服務(wù)的網(wǎng)絡(luò)，鏡像/TAP 用于復制流量。每個網(wǎng)絡(luò)一個 nProbe 用于監(jiān)控鏡像的客戶流量（請注意，網(wǎng)絡(luò) cn 是分布式的，因此 nProbe 實例可以在不同的主機和位置上運行），并且流量通過 ZMQ 傳送到中央 ntopng。ntopng 可以配置為在各種 ZMQ 接口上收集流，每個探針一個，并通過視圖接口聚合。通過這種方式，您可以最大限度地提高整體性能，因為每個接口都是獨立的。為了限制每個用戶查看自己的流量，您需要在 ntopng 中為每個客戶配置一個用戶，將其限制為他擁有的 IP。示例：假設(shè)有一個用戶的服務(wù)器 IP 為 192.168.160.10，那么這就是要使用的配置。

該解決方案的作品如果customers也不會有重疊的IP地址，并為它們分配靜態(tài)（即它們不隨時間改變）。

在這種情況下，每臺主機需要一個 ntopng 許可證和一個 nProbe 許可證。請注意，許可證綁定到主機，因此如果您為每個主機啟動多個 nProbe，則不必支付多個許可證。配置示例（ntopng 在主機 172.16.100.10 上處于活動狀態(tài)，nProbes 在 192.168.1.2-192.168.1.4 上捕獲接口 eno1 上的流量）：

• ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看：全部

• nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234（對于 192.168.1.2，為所有其他 nProbe 復制它）

解決方案 2：遠程站點和重疊 IP

此解決方案適用于具有遠程客戶站點的服務(wù)提供商，這些站點的路由器/防火墻能夠生成 NetFlow/IPFIX（例如 Mikrotik 是許多公司使用的流行設(shè)備）。由于通常為每個客戶提供“復制”相同的網(wǎng)絡(luò)，因此客戶網(wǎng)絡(luò)內(nèi)部的地址計劃可能是相同的，因此您需要為每個客戶劃分流量，而不是將其與視圖界面合并。在這種情況下，您需要在運行 ntopng 的中央主機上配置每個客戶一個 ZMQ 接口（即每個客戶將有一個 ZMQ 接口，因此我們不會混合不同客戶的流量）。nProbe 實例收集流可以在 ntopng 處于活動狀態(tài)的同一主機上運行，每個實例收集單個客戶的流量。

在這種情況下，假設(shè)在同一主機上同時運行 nProbe 和 ntopng，您將需要一個 ntopng Enterprise LBundle許可證（能夠支持多達 32 個 ZMQ 接口，從而支持 32 個客戶），其中包括 nProbe 和 ntopng 許可證。配置示例（ntopng 和 nProbe 在主機 172.16.100.10 上處于活動狀態(tài)）：

• ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236

• nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234（客戶A）

• nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235（客戶B）

• nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236（客戶C）

在這種情況下，每個客戶將被配置為將其視圖限制在其 ZMQ 監(jiān)控界面

當然，如果您的客戶超過 32 個，您可以復制上述解決方案，直到所有客戶都被監(jiān)控到為止。

結(jié)語

這篇文章顯示了解決客戶監(jiān)控需求的主要選項。請注意，ntopng 能夠遠程或在消息傳遞系統(tǒng)上發(fā)送警報，因此您還可以為每個客戶配置此功能以獲得完整的監(jiān)控體驗。現(xiàn)在是時候玩轉(zhuǎn) ntop 工具并享受以廉價有效的方式為您的客戶帶來可見性的樂趣了。

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡單且無需任何專業(yè)硬件即可實現(xiàn)高速流量分析。解決方案由多個組件構(gòu)成，每個組件即可單獨使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

• PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

• nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

• n2disk：用于高速連續(xù)流量存儲處理和回放。

• ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實時監(jiān)控和回溯分析。

往期推薦

【虹科】-使用OmniPeek診斷網(wǎng)絡(luò)

【虹科】Allegro 網(wǎng)絡(luò)分析示例

【虹科】LiveNX 下一代企業(yè)網(wǎng)絡(luò)監(jiān)控軟件

【虹科】增加網(wǎng)絡(luò)可見性以優(yōu)化網(wǎng)絡(luò)檢測和響應 (NDR)

-END-