【虹科】如何監(jiān)控托管服務(wù)提供商和 ISP 中的客戶流量

ISP 多年來一直為客戶提供 Internet 訪問權(quán)限，唯一的目標(biāo)是將其用戶連接到 Internet。托管服務(wù)提供商 (MSP) 和托管安全服務(wù)提供商 (MSSP) 在客戶場所提供網(wǎng)絡(luò)、服務(wù)和基礎(chǔ)設(shè)施，并且在過去幾年變得相對流行。隨著時(shí)間的推移，客戶開始要求新的服務(wù)，包括流量監(jiān)控、安全（這里 MSSP 出現(xiàn)）和可見性。

因此，如果您是 MSP、MSSP 或 ISP，并且想知道如何使用 ntop 工具監(jiān)控客戶流量，那么這篇文章可以作為您的起點(diǎn)。

解決方案 1：具有靜態(tài)和非重疊 IP 的中心位置

您能想到的最簡單的解決方案如下圖所示：

對于每個(gè)提供服務(wù)的網(wǎng)絡(luò)，鏡像/TAP 用于復(fù)制流量。每個(gè)網(wǎng)絡(luò)一個(gè) nProbe 用于監(jiān)控鏡像的客戶流量（請注意，網(wǎng)絡(luò) cn 是分布式的，因此 nProbe 實(shí)例可以在不同的主機(jī)和位置上運(yùn)行），并且流量通過 ZMQ 傳送到中央 ntopng。ntopng 可以配置為在各種 ZMQ 接口上收集流，每個(gè)探針一個(gè)，并通過視圖接口聚合。通過這種方式，您可以最大限度地提高整體性能，因?yàn)槊總€(gè)接口都是獨(dú)立的。為了限制每個(gè)用戶查看自己的流量，您需要在 ntopng 中為每個(gè)客戶配置一個(gè)用戶，將其限制為他擁有的 IP。示例：假設(shè)有一個(gè)用戶的服務(wù)器 IP 為 192.168.160.10，那么這就是要使用的配置。

該解決方案的作品如果customers也不會(huì)有重疊的IP地址，并為它們分配靜態(tài)（即它們不隨時(shí)間改變）。

在這種情況下，每臺(tái)主機(jī)需要一個(gè) ntopng 許可證和一個(gè) nProbe 許可證。請注意，許可證綁定到主機(jī)，因此如果您為每個(gè)主機(jī)啟動(dòng)多個(gè) nProbe，則不必支付多個(gè)許可證。配置示例（ntopng 在主機(jī) 172.16.100.10 上處于活動(dòng)狀態(tài)，nProbes 在 192.168.1.2-192.168.1.4 上捕獲接口 eno1 上的流量）：

• ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看：全部

• nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234（對于 192.168.1.2，為所有其他 nProbe 復(fù)制它）

解決方案 2：遠(yuǎn)程站點(diǎn)和重疊 IP

此解決方案適用于具有遠(yuǎn)程客戶站點(diǎn)的服務(wù)提供商，這些站點(diǎn)的路由器/防火墻能夠生成 NetFlow/IPFIX（例如 Mikrotik 是許多公司使用的流行設(shè)備）。由于通常為每個(gè)客戶提供“復(fù)制”相同的網(wǎng)絡(luò)，因此客戶網(wǎng)絡(luò)內(nèi)部的地址計(jì)劃可能是相同的，因此您需要為每個(gè)客戶劃分流量，而不是將其與視圖界面合并。在這種情況下，您需要在運(yùn)行 ntopng 的中央主機(jī)上配置每個(gè)客戶一個(gè) ZMQ 接口（即每個(gè)客戶將有一個(gè) ZMQ 接口，因此我們不會(huì)混合不同客戶的流量）。nProbe 實(shí)例收集流可以在 ntopng 處于活動(dòng)狀態(tài)的同一主機(jī)上運(yùn)行，每個(gè)實(shí)例收集單個(gè)客戶的流量。

在這種情況下，假設(shè)在同一主機(jī)上同時(shí)運(yùn)行 nProbe 和 ntopng，您將需要一個(gè) ntopng Enterprise LBundle許可證（能夠支持多達(dá) 32 個(gè) ZMQ 接口，從而支持 32 個(gè)客戶），其中包括 nProbe 和 ntopng 許可證。配置示例（ntopng 和 nProbe 在主機(jī) 172.16.100.10 上處于活動(dòng)狀態(tài)）：

• ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236

• nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234（客戶A）

• nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235（客戶B）

• nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236（客戶C）

在這種情況下，每個(gè)客戶將被配置為將其視圖限制在其 ZMQ 監(jiān)控界面

當(dāng)然，如果您的客戶超過 32 個(gè)，您可以復(fù)制上述解決方案，直到所有客戶都被監(jiān)控到為止。

結(jié)語

這篇文章顯示了解決客戶監(jiān)控需求的主要選項(xiàng)。請注意，ntopng 能夠遠(yuǎn)程或在消息傳遞系統(tǒng)上發(fā)送警報(bào)，因此您還可以為每個(gè)客戶配置此功能以獲得完整的監(jiān)控體驗(yàn)。現(xiàn)在是時(shí)候玩轉(zhuǎn) ntop 工具并享受以廉價(jià)有效的方式為您的客戶帶來可見性的樂趣了。

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡單且無需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成，每個(gè)組件即可單獨(dú)使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

• PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

• nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

• n2disk：用于高速連續(xù)流量存儲(chǔ)處理和回放。

• ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實(shí)時(shí)監(jiān)控和回溯分析。

往期推薦

【虹科】-使用OmniPeek診斷網(wǎng)絡(luò)

【虹科】Allegro 網(wǎng)絡(luò)分析示例

【虹科】LiveNX 下一代企業(yè)網(wǎng)絡(luò)監(jiān)控軟件

【虹科】增加網(wǎng)絡(luò)可見性以優(yōu)化網(wǎng)絡(luò)檢測和響應(yīng) (NDR)

-END-