ISP 多年來(lái)一直為客戶提供 Internet 訪問(wèn)權(quán)限,唯一的目標(biāo)是將其用戶連接到 Internet。托管服務(wù)提供商 (MSP) 和托管安全服務(wù)提供商 (MSSP) 在客戶場(chǎng)所提供網(wǎng)絡(luò)、服務(wù)和基礎(chǔ)設(shè)施,并且在過(guò)去幾年變得相對(duì)流行。隨著時(shí)間的推移,客戶開(kāi)始要求新的服務(wù),包括流量監(jiān)控、安全(這里 MSSP 出現(xiàn))和可見(jiàn)性。
因此,如果您是 MSP、MSSP 或 ISP,并且想知道如何使用 ntop 工具監(jiān)控客戶流量,那么這篇文章可以作為您的起點(diǎn)。
解決方案 1:具有靜態(tài)和非重疊 IP 的中心位置
您能想到的最簡(jiǎn)單的解決方案如下圖所示:
對(duì)于每個(gè)提供服務(wù)的網(wǎng)絡(luò),鏡像/TAP 用于復(fù)制流量。每個(gè)網(wǎng)絡(luò)一個(gè) nProbe 用于監(jiān)控鏡像的客戶流量(請(qǐng)注意,網(wǎng)絡(luò) cn 是分布式的,因此 nProbe 實(shí)例可以在不同的主機(jī)和位置上運(yùn)行),并且流量通過(guò) ZMQ 傳送到中央 ntopng。ntopng 可以配置為在各種 ZMQ 接口上收集流,每個(gè)探針一個(gè),并通過(guò)視圖接口聚合。通過(guò)這種方式,您可以最大限度地提高整體性能,因?yàn)槊總€(gè)接口都是獨(dú)立的。為了限制每個(gè)用戶查看自己的流量,您需要在 ntopng 中為每個(gè)客戶配置一個(gè)用戶,將其限制為他擁有的 IP。示例:假設(shè)有一個(gè)用戶的服務(wù)器 IP 為 192.168.160.10,那么這就是要使用的配置。
該解決方案的作品如果customers也不會(huì)有重疊的IP地址,并為它們分配靜態(tài)(即它們不隨時(shí)間改變)。
在這種情況下,每臺(tái)主機(jī)需要一個(gè) ntopng 許可證和一個(gè) nProbe 許可證。請(qǐng)注意,許可證綁定到主機(jī),因此如果您為每個(gè)主機(jī)啟動(dòng)多個(gè) nProbe,則不必支付多個(gè)許可證。配置示例(ntopng 在主機(jī) 172.16.100.10 上處于活動(dòng)狀態(tài),nProbes 在 192.168.1.2-192.168.1.4 上捕獲接口 eno1 上的流量):
-
ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看:全部
-
nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234(對(duì)于 192.168.1.2,為所有其他 nProbe 復(fù)制它)
解決方案 2:遠(yuǎn)程站點(diǎn)和重疊 IP
此解決方案適用于具有遠(yuǎn)程客戶站點(diǎn)的服務(wù)提供商,這些站點(diǎn)的路由器/防火墻能夠生成 NetFlow/IPFIX(例如 Mikrotik 是許多公司使用的流行設(shè)備)。由于通常為每個(gè)客戶提供“復(fù)制”相同的網(wǎng)絡(luò),因此客戶網(wǎng)絡(luò)內(nèi)部的地址計(jì)劃可能是相同的,因此您需要為每個(gè)客戶劃分流量,而不是將其與視圖界面合并。在這種情況下,您需要在運(yùn)行 ntopng 的中央主機(jī)上配置每個(gè)客戶一個(gè) ZMQ 接口(即每個(gè)客戶將有一個(gè) ZMQ 接口,因此我們不會(huì)混合不同客戶的流量)。nProbe 實(shí)例收集流可以在 ntopng 處于活動(dòng)狀態(tài)的同一主機(jī)上運(yùn)行,每個(gè)實(shí)例收集單個(gè)客戶的流量。
在這種情況下,假設(shè)在同一主機(jī)上同時(shí)運(yùn)行 nProbe 和 ntopng,您將需要一個(gè) ntopng Enterprise LBundle許可證(能夠支持多達(dá) 32 個(gè) ZMQ 接口,從而支持 32 個(gè)客戶),其中包括 nProbe 和 ntopng 許可證。配置示例(ntopng 和 nProbe 在主機(jī) 172.16.100.10 上處于活動(dòng)狀態(tài)):
-
ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236
-
nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234(客戶A)
-
nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235(客戶B)
-
nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236(客戶C)
在這種情況下,每個(gè)客戶將被配置為將其視圖限制在其 ZMQ 監(jiān)控界面
當(dāng)然,如果您的客戶超過(guò) 32 個(gè),您可以復(fù)制上述解決方案,直到所有客戶都被監(jiān)控到為止。
結(jié)語(yǔ)
這篇文章顯示了解決客戶監(jiān)控需求的主要選項(xiàng)。請(qǐng)注意,ntopng 能夠遠(yuǎn)程或在消息傳遞系統(tǒng)上發(fā)送警報(bào),因此您還可以為每個(gè)客戶配置此功能以獲得完整的監(jiān)控體驗(yàn)。現(xiàn)在是時(shí)候玩轉(zhuǎn) ntop 工具并享受以廉價(jià)有效的方式為您的客戶帶來(lái)可見(jiàn)性的樂(lè)趣了。
虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理,虛擬,容器等多種環(huán)境下部署,部署簡(jiǎn)單且無(wú)需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成,每個(gè)組件即可單獨(dú)使用,與第三方工具集成,也可以靈活組合形成不同解決方案。包含的組件如下:
-
PF_RING:一種新型的網(wǎng)絡(luò)套接字,可顯著提高數(shù)據(jù)包捕獲速度,DPDK替代方案。
-
nProbe:網(wǎng)絡(luò)探針,可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。
-
n2disk:用于高速連續(xù)流量存儲(chǔ)處理和回放。
-
ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具,用于實(shí)時(shí)監(jiān)控和回溯分析。
往期推薦
【虹科】-使用OmniPeek診斷網(wǎng)絡(luò)
【虹科】Allegro 網(wǎng)絡(luò)分析示例
【虹科】LiveNX 下一代企業(yè)網(wǎng)絡(luò)監(jiān)控軟件
【虹科】增加網(wǎng)絡(luò)可見(jiàn)性以優(yōu)化網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR)
-END-
原文標(biāo)題:【虹科】如何監(jiān)控托管服務(wù)提供商和 ISP 中的客戶流量
文章出處:【微信公眾號(hào):網(wǎng)絡(luò)安全與可視化】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
ISP
+關(guān)注
關(guān)注
6文章
476瀏覽量
51808
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論