本教程旨在分享如何通過 ntopng 和 nProbe 這兩款工具，深入了解和掌握網絡流量監控的藝術。我們將提供從基本概念到高級應用的全面指導，涵蓋了在多種平臺和設備上的部署和配置步驟。不論您是專業人員還是技術愛好者，跟隨本教程，都能夠有效地安裝、配置并運用這些工具，以洞察網絡的運行狀態和性能，確保網絡安全與高效運行。

一、什么是Ntopng

Ntopng 是原始 ntop 的下一代版本，它是一款用于監控網絡使用情況的網絡流量探測器。能從鏡像流量、NetFlow 導出器、SNMP 設備、防火墻日志和入侵檢測系統中收集流量信息，從而提供 360° 網絡可視性。

ntopng 有三個版本：社區版、專業版（小型企業版）和企業版。社區版免費使用，并且開源。服務器的物理網卡可通過指定其接口名稱進行監控，如./ntopng -i eth0

不過，我們將在流量收集模式下使用 ntopng 和 nProbe，后者可以充當探針/代理。nProbe 和 ntopng 之間的通信通過 ZeroMQ 進行，ZeroMQ 是一種發布-訂閱協議，允許 ntopng 與 nProbe 通信。

ntpong 社區版安裝在 Ubuntu 服務器 18.04.1 上，IP 地址為 172.17.100.7/16。Ubuntu 在 VirtualBox 虛擬機中運行。主機（華碩 k55vm）的 IP 地址為 172.17.100.2/16。主機與 SOHO 路由器相連，SOHO 路由器作為網關與 IP 地址為 172.17.100.1/16 的互聯網網關相連。網絡圖如圖 1 所示。

nProbe 安裝在 Raspberry Pi 3B 上，IP 地址為 172.17.100.50/16。Windows 7 安裝在受監控的 PC 上，IP 地址為 172.17.100.10/16，該 PC 連接到 Cisco Catalyst 交換機 3550 的 FastEthernet0/3。安裝了 nProbe 的樹莓派連接到 FastEthernet0/24。思科交換機連接到 SOHO 路由器。

圖 1 - 網絡拓撲結構

以下是拓撲結構中所有設備的默認密碼列表。
設備 - 用戶名/密碼

樹莓派：pi/raspberry

Ubuntu 服務器 18.04：ubuntu/ubuntu

ntopng: admin/admin123

Cisco Catalyst 3550：admin/admin，enable 密碼：cisco

ntpong Web 界面：http://172.17.100.7:3000

硬件

Raspberry PI 3B
- Raspbian GNU/Linux 9.4 (stretch)
- nProbe v.8.5.180917

華碩 K55Vm 16GB 內存
- 主機操作系統 Linux Kubuntu 18.04.1
- 帶客戶虛擬機的 Oracle VirtualBox 5.2：
-- Ubuntu 16.04.5 服務器，已安裝 Ntopng

1. 端口鏡像配置
為了從連接 PC（172.17.100.10/16）的受監控（源）端口 Fa0/3 向連接 Raspberry PI 的目標端口 Fa0/24 發送流量，我們需要在 Cisco 上配置端口鏡像功能：
Switch(config)# monitor session 1 source interface Fa0/3
Switch(config)# monitor session 1 destination interface Fa0/24 encapsulation dot1q ingress vlan 1
確保 nProbe 向 ntpong 發送流量。
2. 在 Raspberry Pi 3B 上安裝 Raspbian Stretch
Raspbian Strech 安裝在 Raspberry Pi 3B 上。nProbe 安裝在 Raspbian Stretch 之上。
2.1 為 Raspberry Pi3 下載 Raspbian Stretch 并將映像復制到 SD 卡
我們將下載最新的 Raspbian Stretch 并將其保存到 x86-64 Kubuntu 18.04。
$ wget https://downloads.raspberrypi.org/raspbian_lite_latest
解壓縮鏡像
$ unzip raspbian_lite_latest
確保SD卡未被掛載。如果是，請卸載該卡。
$ sudo umount /dev/mmcblk0
將提取的 piCore 映像復制到 SD 卡。
$ sudo dd bs=4M if=2018-06-27-raspbian-stretch-lite.img of=/dev/mmcblk0 status=progress conv=fsync
從 Kubuntu 中取出 SD 卡并插入樹莓派。用用戶名 pi 和密碼 raspberry 登錄。
2.2. 利用 SD 卡上的所有空間
默認情況下，鏡像文件只占用 4GB 的 SD 卡空間。請執行以下命令。
# raspi-config
導航至 Advanced Options（高級選項）-> A1 Expand Filesystem（A1 擴展文件系統） 確保操作系統可以使用 SD 卡上的所有存儲空間。文件系統將在下次重啟時擴大。
2.3 配置靜態 IP 地址
為接口 eth0 設置靜態 IP 地址。
# echo "interface eth0" >> /etc/dhcpcd.conf
# echo "static ip_address=172.17.100.50/16" >> /etc/dhcpcd.conf
# echo "static routers=172.17.100.1" >> /etc/dhcpcd.conf
# echo "static domain_name_servers=172.17.100.1 8.8.8.8" >> /etc/dhcpcd.conf
2.4 啟用 SSH 服務器
導航至 Interface Options-> SSH（接口選項-> SSH）并單擊 Yes（是）啟用 SSH 服務器。
# raspi-config
2.5 設置時區
我們需要配置正確的時區（圖 2）。
# dpkg-reconfigure tzdata

? ? ? ? ? 圖 2 - Raspberry PI 上的時區配置 ? ? ? ? ? ? ??

3. 在 Raspbian 上安裝和配置 nProbe
3.1 安裝 nProbe
下載并導入公鑰。
$ wget http://packages.ntop.org/apt/ntop.key
$ sudo su
# apt-key add ntop.key
添加 ntop 軟件源。
# echo "deb http://apt.ntop.org/stretch_pi armhf/" > /etc/apt/sources.list.d/ntop.list
# echo "deb http://apt.ntop.org/stretch_pi all/" >> /etc/apt/sources.list.d/ntop.list
# apt-get update
從軟件源安裝 nprobe。
# apt-get install nprobe
3.2 nProbe 配置
我們將在另一篇文章中討論 nProbe 配置。
4. Ubuntu 18.04.1 服務器的安裝和配置
Ubuntu 18.04.1 作為 VirtualBox guest 虛擬機運行，本教程不涉及其安裝。
4.1 Ubuntu 18.04.1 服務器的靜態 IP 地址配置
Ubuntu 18.04 使用 netplan 配置網絡接口（圖 3）。根據需要更改網卡名稱，我的網卡名稱是 enp0s3。
$ cat /etc/netplan/01-systemd-networkd-eth.yaml

圖 3 - Ubuntu 18.04 的靜態 IP 地址配置

保存更改。
$ sudo netplan apply
5. 在 Ubuntu 18.04.x LTS 服務器上安裝和配置 Ntopng
ntpong 可以從軟件源安裝，也可以從源代碼編譯安裝。我們將展示這兩種方法，請選擇你喜歡的安裝方式。
5.1 從版本庫安裝 ntpong
將 repository universe 添加到 /etc/apt/sources.list 中（圖 4）。使用你喜歡的文件編輯器。
$ sudo su
# vi /etc/apt/sources.list

圖 4 -將 Universe 添加到 Ubuntu 存儲庫列表

# apt-get update
# apt-get install ntopng
5.2 Ntop源碼編譯和安裝
如果您喜歡手動安裝，下面是步驟。
$sudo su
添加universe存儲庫，因為我們將從存儲庫中安裝redis服務器（圖4）。
安裝PF_RING、nDPI和ntpong的依賴項。
$ sudo apt-get install autoconf pkg-config libtool libcurl4-openssl-dev rrdtool librrd-dev libmysqlclient-dev bison flex libpcap0.8-dev libmaxminddb-dev libsqlite3-dev libpcap-dev
5.2.1從存儲庫安裝 Redis 服務器
$ sudo apt-get install redis-server redis-tools
5.2.2 PF_RING 安裝
$ git clone https://github.com/ntop/PF_RING.git
$ cd PF_RING/kernel
$ make
$ sudo insmod ./pf_ring.ko
$ cd ../userland
$ make
$ cd ~
5.2.3 nDPI 安裝
$ git clone https://github.com/ntop/nDPI.git
$ cd nDPI
$ ./autogen.sh
$ ./configure –with-pic
$ make
$ cd ~
5.2.4 ntopng 安裝
$ git clone https://github.com/ntop/ntopng.git
$ cd ntopng
$ ./autogen.sh
$ ./configure
$ make geoip
$ make
$ sudo make install
5.2.5 ntopng 安裝后步驟
如果您在啟動 ntpong 時發現權限問題，請將以下目錄的所有者從 root 更改為nobody。
# chown -R nobody /var/lib/ntopng/
6. 測試
打開您常用的網絡瀏覽器并輸入 URL http://172.17.100.7:3000。如果您正確遵循說明，您將看到 Ntopng 登錄頁面。默認用戶名是admin，密碼是admin。首次登錄時系統會提示您更改密碼。
我們將在下一個教程中討論 ntpong 流收集模式。

圖5-ntopng登錄頁面

審核編輯 黃宇