挑战
在具有数百个路由器的大型网络上收集流十分具有挑战性。除了要达到收集的流量数量之外,另一个关键点是能够以简单而有效的方式将信息可视化。ntopng 允许您创建多达 32 个虚拟流收集接口,可用于避免合并收集的流:然而,当从 100 多个路由器收集流时,还是不够。在最新的 ntopng 和 nProbe 开发版本(即将发布稳定版)中,我们实现了观察点的概念,在IPFIX 中,它被定义为网络中可以观察到数据包的位置。
nprobe 新功能
我们要解决的问题是:如何对来自同一站点的流进行聚类,而不管发起它们的探测 IP 如何,避免将它们与来自其他站点的流合并,但仍然有能力将它们作为一个整体查看收集流的接口级别。每个 nProbe 实例都可以配置为为唯一标识站点的观察点 Id 设置一个数值。根据站点大小,一个站点可以有一个或多个探针。在 nProbe 中,观察点使用 -E 标志设置,如下所示:
罗马站点:
nprobe -E 0:1234 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i eth1nprobe -E 0:1234 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i eth2nprobe -E 0:1234 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i eth3巴黎站点:
nprobe -E 0:1235 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i eno1柏林站点:
nprobe -E 0:1236 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i enp2s0f0nprobe -E 0:1236 --zmq tcp://192.168.1.100:1234 --zmq-probe-mode -i enp2s0f1中央流量收集器
ntopng -i tcp://92.168.1.100:1234c</