ISP 多年来一直为客户提供 Internet 访问权限,唯一的目标是将其用户连接到 Internet。托管服务提供商 (MSP) 和托管安全服务提供商 (MSSP) 在客户场所提供网络、服务和基础设施,并且在过去几年变得相对流行。随着时间的推移,客户开始要求新的服务,包括流量监控、安全(这里 MSSP 出现)和可见性。
因此,如果您是 MSP、MSSP 或 ISP,并且想知道如何使用 ntop 工具监控客户流量,那么这篇文章可以作为您的起点。
解决方案 1:具有静态和非重叠 IP 的中心位置
您能想到的最简单的解决方案如下图所示:
对于每个提供服务的网络,镜像/TAP 用于复制流量。每个网络一个 nProbe 用于监控镜像的客户流量(请注意,网络 cn 是分布式的,因此 nProbe 实例可以在不同的主机和位置上运行),并且流量通过 ZMQ 传送到中央 ntopng。ntopng 可以配置为在各种 ZMQ 接口上收集流,每个探针一个,并通过视图接口聚合。通过这种方式,您可以最大限度地提高整体性能,因为每个接口都是独立的。为了限制每个用户查看自己的流量,您需要在 ntopng 中为每个客户配置一个用户,将其限制为他拥有的 IP。示例:假设有一个用户的服务器 IP 为 192.168.160.10,那么这就是要使用的配置。
该解决方案的作品如果customers也不会有重叠的IP地址,并为它们分配静态(即它们不随时间改变)。
在这种情况下,每台主机需要一个 ntopng 许可证和一个 nProbe 许可证。请注意,许可证绑定到主机,因此如果您为每个主机启动多个 nProbe,则不必支付多个许可证。配置示例(ntopng 在主机 172.16.100.10 上处于活动状态,nProbes 在 192.168.1.2-192.168.1.4 上捕获接口 eno1 上的流量):
-
ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看:全部
-
nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234(对于 192.168.1.2,为所有其他 nProbe 复制它)
解决方案 2:远程站点和重叠 IP
此解决方案适用于具有远程客户站点的服务提供商,这些站点的路由器/防火墙能够生成 NetFlow/IPFIX(例如 Mikrotik 是许多公司使用的流行设备)。由于通常为每个客户提供“复制”相同的网络,因此客户网络内部的地址计划可能是相同的,因此您需要为每个客户划分流量,而不是将其与视图界面合并。在这种情况下,您需要在运行 ntopng 的中央主机上配置每个客户一个 ZMQ 接口(即每个客户将有一个 ZMQ 接口,因此我们不会混合不同客户的流量)。nProbe 实例收集流可以在 ntopng 处于活动状态的同一主机上运行,每个实例收集单个客户的流量。
在这种情况下,假设在同一主机上同时运行 nProbe 和 ntopng,您将需要一个 ntopng Enterprise LBundle许可证(能够支持多达 32 个 ZMQ 接口,从而支持 32 个客户),其中包括 nProbe 和 ntopng 许可证。配置示例(ntopng 和 nProbe 在主机 172.16.100.10 上处于活动状态):
-
ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236
-
nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234(客户A)
-
nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235(客户B)
-
nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236(客户C)
在这种情况下,每个客户将被配置为将其视图限制在其 ZMQ 监控界面
当然,如果您的客户超过 32 个,您可以复制上述解决方案,直到所有客户都被监控到为止。
结语
这篇文章显示了解决客户监控需求的主要选项。请注意,ntopng 能够远程或在消息传递系统上发送警报,因此您还可以为每个客户配置此功能以获得完整的监控体验。现在是时候玩转 ntop 工具并享受以廉价有效的方式为您的客户带来可见性的乐趣了。
虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:
-
PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。
-
nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。
-
n2disk:用于高速连续流量存储处理和回放。
-
ntopng:基于Web的网络流量监控分析工具,用于实时监控和回溯分析。
往期推荐
【虹科】-使用OmniPeek诊断网络
【虹科】Allegro 网络分析示例
【虹科】LiveNX 下一代企业网络监控软件
【虹科】增加网络可见性以优化网络检测和响应 (NDR)
-END-
原文标题:【虹科】如何监控托管服务提供商和 ISP 中的客户流量
文章出处:【微信公众号:网络安全与可视化】欢迎添加关注!文章转载请注明出处。
-
ISP
+关注
关注
6文章
476浏览量
51802
发布评论请先 登录
相关推荐
评论