管理服务提供商和ISP如何监控客户流量

多年来,ISP为客户提供互联网接入,唯一的目标是将其用户连接到互联网。管理服务提供商(MSP)和管理安全服务提供商(MSSP)在客户处所提供网络、服务和基础设施,在过去几年中变得相对流行。随着时间的推移,客户开始要求提供新的服务,包括流量监控、安全(MSSP应运而生)和可视性。

所以对于MSP、MSSP或ISP,这篇文章给你介绍2个监控客户流量的低成本的解决方案。

解决方案1:具有静态和非重叠IP的中心位置

您能想到的最简单的解决方案如下所示:

对于提供的每个服务网络,使用镜像/分路器来复制流量。每个网络使用一个nProbe来监控镜像的客户流量(请注意,网络可以是分布式的,因此nProbe实例可以在不同的主机和位置上运行),并且流通过ZMQ传递到中央ntopng。Ntopng可以配置为在各种ZMQ接口上收集流,每个探针一个,并通过视图接口聚合。这样可以最大限度地提高整体性能,因为每个接口都是独立的。为了限制每个用户只能看到自己的流量,您需要为每个客户配置一个用户,将其限制为他拥有的IP。示例:假设有一个用户的服务器IP为192.168.160.10,那么这就是要使用的配置。

如果客户没有重叠的IP,并且这些IP是静态分配的(即它们不会随时间变化),那么这个解决方案就非常有用。

在这种情况下,每台主机需要一个ntopng许可证和一个nProbe许可证。注意一点,许可证绑定到主机,因此如果您在每个主机上启动多个nProbe,也无需购买多个许可证。配置示例(ntpng在主机172.16.100.10上激活,nProbes在192.168.1.2-192.168.1.4上捕获接口eno1上的流量)。

  • ntopng -i tcp://192.168.1.2:1234 -i tcp://192.168.1.3:1234 -i tcp://192.168.1.4:1234 -i view:all
  • nprobe -i eno1 -n none –zmq tcp://192.168.1.2:1234 (for 192.168.1.2, replicate it for all other nProbes)

 

解决方案2:远程站点和重叠的IP

这个解决方案适用于有远程客户站点的服务提供商,他们的路由器/防火墙能够生成NetFlow/IPFIX。由于经常为每个客户 “复制 “相同的网络,很可能在客户网络内部的地址计划是相同的,因此你需要为每个客户划分流量,而不是将其与视图界面合并。在这种情况下,你需要在运行ntopng的中央主机上配置,每个客户一个ZMQ接口(即每个客户将有一个ZMQ接口,所以我们不会混合不同客户的流量)。收集流量的 nProbe 实例可以在 ntopng 处于活动状态的同一主机上运行,每个实例收集单个客户的流量。

在这种情况下,假设要在同一台主机上运行nProbe和ntopng,您将需要一个同时包括nProbe和ntopng许可证的ntopng Enterprise L捆绑包许可证(最多可支持32个ZMQ接口,从而支持32个客户)。配置示例(主机172.16.100.10上激活ntopng和nProbe):

  • ntopng -i tcp://127.0.0.1:1234 -i tcp://127.0.0.1:1235 -i tcp://127.0.0.1:1236
  • nprobe -3 2055 -n none –zmq tcp://127.0.0.1:1234 (customer A flows are collected on 172.16.100.10:2055)
  • nprobe -3 2056 -n none –zmq tcp://127.0.0.1:1235 (customer B flows are collected on 172.16.100.10:2056)
  • nprobe -3 2057 -n none –zmq tcp://127.0.0.1:1236 (customer C flows are collected on 172.16.100.10:2057)

在这种情况下,每个客户将被配置为将其视图限制在其ZMQ监控的接口上

当然,如果你有超过32个客户,你可以复制上述解决方案,直到所有客户都被监控。

结束语

这篇文章展示了满足客户监控需求的主要选项。请注意,ntopng能够远程或在消息传递系统上发送警报,因此您还可以为每个客户配置此功能,以获得完整的监控体验。开始您的低成本的有效的客户监控体验,请联系我们:network@hkaco.com,13533491614