【虹科】如何监控托管服务提供商和 ISP 中的客户流量-电子发烧友网

ISP 多年来一直为客户提供 Internet 访问权限，唯一的目标是将其用户连接到 Internet。托管服务提供商 (MSP) 和托管安全服务提供商 (MSSP) 在客户场所提供网络、服务和基础设施，并且在过去几年变得相对流行。随着时间的推移，客户开始要求新的服务，包括流量监控、安全（这里 MSSP 出现）和可见性。

因此，如果您是 MSP、MSSP 或 ISP，并且想知道如何使用 ntop 工具监控客户流量，那么这篇文章可以作为您的起点。

解决方案 1：具有静态和非重叠 IP 的中心位置

您能想到的最简单的解决方案如下图所示：

对于每个提供服务的网络，镜像/TAP 用于复制流量。每个网络一个 nProbe 用于监控镜像的客户流量（请注意，网络 cn 是分布式的，因此 nProbe 实例可以在不同的主机和位置上运行），并且流量通过 ZMQ 传送到中央 ntopng。ntopng 可以配置为在各种 ZMQ 接口上收集流，每个探针一个，并通过视图接口聚合。通过这种方式，您可以最大限度地提高整体性能，因为每个接口都是独立的。为了限制每个用户查看自己的流量，您需要在 ntopng 中为每个客户配置一个用户，将其限制为他拥有的 IP。示例：假设有一个用户的服务器 IP 为 192.168.160.10，那么这就是要使用的配置。

该解决方案的作品如果customers也不会有重叠的IP地址，并为它们分配静态（即它们不随时间改变）。

在这种情况下，每台主机需要一个 ntopng 许可证和一个 nProbe 许可证。请注意，许可证绑定到主机，因此如果您为每个主机启动多个 nProbe，则不必支付多个许可证。配置示例（ntopng 在主机 172.16.100.10 上处于活动状态，nProbes 在 192.168.1.2-192.168.1.4 上捕获接口 eno1 上的流量）：

ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i 查看：全部
nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234（对于 192.168.1.2，为所有其他 nProbe 复制它）

解决方案 2：远程站点和重叠 IP

此解决方案适用于具有远程客户站点的服务提供商，这些站点的路由器/防火墙能够生成 NetFlow/IPFIX（例如 Mikrotik 是许多公司使用的流行设备）。由于通常为每个客户提供“复制”相同的网络，因此客户网络内部的地址计划可能是相同的，因此您需要为每个客户划分流量，而不是将其与视图界面合并。在这种情况下，您需要在运行 ntopng 的中央主机上配置每个客户一个 ZMQ 接口（即每个客户将有一个 ZMQ 接口，因此我们不会混合不同客户的流量）。nProbe 实例收集流可以在 ntopng 处于活动状态的同一主机上运行，每个实例收集单个客户的流量。

在这种情况下，假设在同一主机上同时运行 nProbe 和 ntopng，您将需要一个 ntopng Enterprise LBundle许可证（能够支持多达 32 个 ZMQ 接口，从而支持 32 个客户），其中包括 nProbe 和 ntopng 许可证。配置示例（ntopng 和 nProbe 在主机 172.16.100.10 上处于活动状态）：