【虹科】如何监控托管服务提供商和 ISP 中的客户流量

ISP 多年来一直为客户提供 Internet 访问权限，唯一的目标是将其用户连接到 Internet。托管服务提供商 (MSP) 和托管安全服务提供商 (MSSP) 在客户场所提供网络、服务和基础设施，并且在过去几年变得相对流行。随着时间的推移，客户开始要求新的服务，包括流量监控、安全（这里 MSSP 出现）和可见性。

因此，如果您是 MSP、MSSP 或 ISP，并且想知道如何使用 ntop 工具监控客户流量，那么这篇文章可以作为您的起点。

解决方案 1：具有静态和非重叠 IP 的中心位置

您能想到的最简单的解决方案如下图所示：

对于每个提供服务的网络，镜像/TAP 用于复制流量。每个网络一个 nProbe 用于监控镜像的客户流量（请注意，网络 cn 是分布式的，因此 nProbe 实例可以在不同的主机和位置上运行），并且流量通过 ZMQ 传送到中央 ntopng。ntopng 可以配置为在各种 ZMQ 接口上收集流，每个探针一个，并通过视图接口聚合。通过这种方式，您可以最大限度地提高整体性能，因为每个接口都是独立的。为了限制每个用户查看自己的流量，您需要在 ntopng 中为每个客户配置一个用户，将其限制为他拥有的 IP。示例：假设有一个用户的服务器 IP 为 192.168.160.10，那么这就是要使用的配置。

该解决方案的作品如果customers也不会有重叠的IP地址，并为它们分配静态（即它们不随时间改变）。

在这种情况下，每台主机需要一个 ntopng 许可证和一个 nProbe 许可证。请注意，许可证绑定到主机，因此如果您为每个主机启动多个 nProbe，则不必支付多个许可证。配置示例（ntopng 在主机 172.16.100.10 上处于活动状态，nProbes 在 192.168.1.2-192.168.1.4 上捕获接口 eno1 上的流量）：

• ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看：全部

• nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234（对于 192.168.1.2，为所有其他 nProbe 复制它）

解决方案 2：远程站点和重叠 IP

此解决方案适用于具有远程客户站点的服务提供商，这些站点的路由器/防火墙能够生成 NetFlow/IPFIX（例如 Mikrotik 是许多公司使用的流行设备）。由于通常为每个客户提供“复制”相同的网络，因此客户网络内部的地址计划可能是相同的，因此您需要为每个客户划分流量，而不是将其与视图界面合并。在这种情况下，您需要在运行 ntopng 的中央主机上配置每个客户一个 ZMQ 接口（即每个客户将有一个 ZMQ 接口，因此我们不会混合不同客户的流量）。nProbe 实例收集流可以在 ntopng 处于活动状态的同一主机上运行，每个实例收集单个客户的流量。

在这种情况下，假设在同一主机上同时运行 nProbe 和 ntopng，您将需要一个 ntopng Enterprise L Bundle许可证（能够支持多达 32 个 ZMQ 接口，从而支持 32 个客户），其中包括 nProbe 和 ntopng 许可证。配置示例（ntopng 和 nProbe 在主机 172.16.100.10 上处于活动状态）：

• ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236

• nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234（客户A）

• nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235（客户B）

• nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236（客户C）

在这种情况下，每个客户将被配置为将其视图限制在其 ZMQ 监控界面

当然，如果您的客户超过 32 个，您可以复制上述解决方案，直到所有客户都被监控到为止。

结语

这篇文章显示了解决客户监控需求的主要选项。请注意，ntopng 能够远程或在消息传递系统上发送警报，因此您还可以为每个客户配置此功能以获得完整的监控体验。现在是时候玩转 ntop 工具并享受以廉价有效的方式为您的客户带来可见性的乐趣了。

虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理，虚拟，容器等多种环境下部署，部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成，每个组件即可单独使用，与第三方工具集成，也可以灵活组合形成不同解决方案。包含的组件如下：

• PF_RING：一种新型的网络套接字，可显着提高数据包捕获速度，DPDK替代方案。

• nProbe：网络探针，可用于处理NetFlow/sFlow流数据或者原始流量。

• n2disk：用于高速连续流量存储处理和回放。

• ntopng: 基于Web的网络流量监控分析工具，用于实时监控和回溯分析。

往期推荐

【虹科】-使用OmniPeek诊断网络

【虹科】Allegro 网络分析示例

【虹科】LiveNX 下一代企业网络监控软件

【虹科】增加网络可见性以优化网络检测和响应 (NDR)

-END-