NTM部署说明
一. 部署拓扑 通常情况下,Panabit NTM以旁路模式部署,接收用户的镜像流量。NTM 可以选择全量或按需存储数据包,用于用户流量的分析与原始数据包溯源。二. NTM数据接口设置1) 登陆NTM管理页面,设置数据接口的工作模式为“监控模式”;2) 将NTM的数据口接到核心交换机上;3) 在核心交换机上将流量镜像到NTM数据口所接的端口上。三. 流量的上下行区分旁路部署的情况下,可以通过交换机将网络的上行流量和下行流量分别镜像到NTM的两个不同网卡,由此来区分流量的上下行。1) 针对上行数据做分析,交换机镜像“出”的数据,NTM接入位置设置“接内网”;2) 针对下行数据做分析,交换机镜像“入”的数据,NTM接入位置设置“接外网”。但是在实际环境中,因为交换机镜像端口的限制,很多用户是将上下行流量都通过同一个网口镜像过来,这个时候,就需要其他设置来告诉NTM流量的上下行区分规则:
3.1伪IP防护进入【应用识别】-【引擎参数】,打开“伪IP防护”功能,将内网IP地址段填进去,NTM就可以区分上下行了。这个功能打开后,实际上就告诉了NTM,哪些IP是内网的,源地址为内网IP的流量就是上行流量;源地址为外网IP的就是下行流量。具体配置如下图所示:
3.2 网卡混合模式很多情况下,我们可能无法确切地知道内网合法的IP地址段,因此无法通过设置【伪IP防护】来区分上下行,此时可以通过开启【网卡混合模式】来进行区分。设置方法:进入【系统维护】-【网络接口】,点击网卡右侧的编辑按钮,开启混合模式。
在没有设置【伪IP防护】的情况下,开启网卡混合模式后,系统根据会话的源地址和目的地址流量来决定上下行,源->目方向为上行,目->源方向为下行,并且以会话的源地址创建内网在线用户(TCP会话根据三次握手确定源地址,UDP会话的根据首包确定源地址)。
注意:开启该功能需要升级到NTM v22.8.16(核心代号“唐r2”)及以后的版本。
四. 数据抓包策略默认情况下,NTM会对数据包进行全量留存:
数据包全量留存时,对硬盘空间的要求会比较高,有时候我们可以只针对部分关键流量进行留存,以节省存储资源。例如,我们只想存储HTTP协议的数据包,可以配置抓包策略,如下图:
TopCarl 发表于 2023-10-6 11:42
panabit上的配置可以参考下。
请问panabit免费版是没有这个功能吗? gzsuker 发表于 2023-4-3 20:47
NTM部署,请问Panabit里面是怎样设置的?我用的是 伪IP防护的连接模式,只用一根网线。
因为我用的是AX5 ...
NTM是另一套系统,您可以用Panabit,将流量镜像给NTM。
另外管理口是不能用来监控的哈~ 那是不是虚拟机里也可以装? hsh0109 发表于 2022-7-19 08:30
那是不是虚拟机里也可以装?
我在VMware虚拟机装过,可以安装 请问AMD 四核外加一个Intel的双口网卡可用吗? 无情铁手 发表于 2022-7-19 08:34
我在VMware虚拟机装过,可以安装
请问下,虚拟机安装后监控网卡怎么配置才能把流量转进去,谢谢 NTM部署,请问Panabit里面是怎样设置的?我用的是 伪IP防护的连接模式,只用一根网线。
因为我用的是AX50C,网口不够,请问可以使用管理口来监控吗? 单个镜像的话 网卡设置接内还是接外 失控小歪 发表于 2023-4-4 09:35
NTM是另一套系统,您可以用Panabit,将流量镜像给NTM。
另外管理口是不能用来监控的哈~
"用Panabit,将流量镜像给NTM"是完全镜像还是指“系统对接”-“日志对接”-“流量日志”里面的采样流量对接? TopCarl 发表于 2023-8-18 23:42
"用Panabit,将流量镜像给NTM"是完全镜像还是指“系统对接”-“日志对接”-“流量日志”里面的采样流量对 ...
完全镜像
页:
[1]
2