ISP 多年來一直為客戶提供 Internet 訪問權限，唯一的目標是將其用戶連接到 Internet。托管服務提供商 (MSP) 和托管安全服務提供商 (MSSP) 在客戶場所提供網絡、服務和基礎設施，并且在過去幾年變得相對流行。隨著時間的推移，客戶開始要求新的服務，包括流量監控、安全（這里 MSSP 出現）和可見性。

因此，如果您是 MSP、MSSP 或 ISP，并且想知道如何使用 ntop 工具監控客戶流量，那么這篇文章可以作為您的起點。

解決方案 1：具有靜態和非重疊 IP 的中心位置

您能想到的最簡單的解決方案如下圖所示：

對于每個提供服務的網絡，鏡像/TAP 用于復制流量。每個網絡一個 nProbe 用于監控鏡像的客戶流量（請注意，網絡 cn 是分布式的，因此 nProbe 實例可以在不同的主機和位置上運行），并且流量通過 ZMQ 傳送到中央 ntopng。ntopng 可以配置為在各種 ZMQ 接口上收集流，每個探針一個，并通過視圖接口聚合。通過這種方式，您可以最大限度地提高整體性能，因為每個接口都是獨立的。為了限制每個用戶查看自己的流量，您需要在 ntopng 中為每個客戶配置一個用戶，將其限制為他擁有的 IP。示例：假設有一個用戶的服務器 IP 為 192.168.160.10，那么這就是要使用的配置。

該解決方案的作品如果customers也不會有重疊的IP地址，并為它們分配靜態（即它們不隨時間改變）。

在這種情況下，每臺主機需要一個 ntopng 許可證和一個 nProbe 許可證。請注意，許可證綁定到主機，因此如果您為每個主機啟動多個 nProbe，則不必支付多個許可證。配置示例（ntopng 在主機 172.16.100.10 上處于活動狀態，nProbes 在 192.168.1.2-192.168.1.4 上捕獲接口 eno1 上的流量）：

• ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看：全部

• nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234（對于 192.168.1.2，為所有其他 nProbe 復制它）

解決方案 2：遠程站點和重疊 IP

此解決方案適用于具有遠程客戶站點的服務提供商，這些站點的路由器/防火墻能夠生成 NetFlow/IPFIX（例如 Mikrotik 是許多公司使用的流行設備）。由于通常為每個客戶提供“復制”相同的網絡，因此客戶網絡內部的地址計劃可能是相同的，因此您需要為每個客戶劃分流量，而不是將其與視圖界面合并。在這種情況下，您需要在運行 ntopng 的中央主機上配置每個客戶一個 ZMQ 接口（即每個客戶將有一個 ZMQ 接口，因此我們不會混合不同客戶的流量）。nProbe 實例收集流可以在 ntopng 處于活動狀態的同一主機上運行，每個實例收集單個客戶的流量。

在這種情況下，假設在同一主機上同時運行 nProbe 和 ntopng，您將需要一個 ntopng Enterprise LBundle許可證（能夠支持多達 32 個 ZMQ 接口，從而支持 32 個客戶），其中包括 nProbe 和 ntopng 許可證。配置示例（ntopng 和 nProbe 在主機 172.16.100.10 上處于活動狀態）：

• ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236

• nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234（客戶A）

• nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235（客戶B）

• nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236（客戶C）

在這種情況下，每個客戶將被配置為將其視圖限制在其 ZMQ 監控界面

當然，如果您的客戶超過 32 個，您可以復制上述解決方案，直到所有客戶都被監控到為止。

結語

這篇文章顯示了解決客戶監控需求的主要選項。請注意，ntopng 能夠遠程或在消息傳遞系統上發送警報，因此您還可以為每個客戶配置此功能以獲得完整的監控體驗。現在是時候玩轉 ntop 工具并享受以廉價有效的方式為您的客戶帶來可見性的樂趣了。

虹科提供網絡流量監控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環境下部署，部署簡單且無需任何專業硬件即可實現高速流量分析。解決方案由多個組件構成，每個組件即可單獨使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

• PF_RING：一種新型的網絡套接字，可顯著提高數據包捕獲速度，DPDK替代方案。

• nProbe：網絡探針，可用于處理NetFlow/sFlow流數據或者原始流量。

• n2disk：用于高速連續流量存儲處理和回放。

• ntopng:基于Web的網絡流量監控分析工具，用于實時監控和回溯分析。

往期推薦

【虹科】-使用OmniPeek診斷網絡

【虹科】Allegro 網絡分析示例

【虹科】LiveNX 下一代企業網絡監控軟件

【虹科】增加網絡可見性以優化網絡檢測和響應 (NDR)

-END-