NTM 本地虚拟化部署 安装配置指导
1. 功能简介NTM是一种基于元数据的全流量溯源分析产品。能够满足用户对业务性能感知、网络未知威胁发现、原始数据包溯源等全方位需求,赋予用户细粒度的可观测、可追溯能力。一镜到底,提供从会话至原始数据的锁定;元数据、会话、威胁情报,加速异常分析定位;全流量留存,网络事后追责时的最后手段。
2. 应用场景NTM全流量溯源分析产品的虚拟化容器部署是一种非常常见的场景,企业内只要部署服务器,并且服务器中使用VMware VSphere等容器进行虚拟机管理与调度的,都可以使用NTM产品对东西向,南北向流量进行监控采集留存,该部署方式不仅降低了企业的硬件成本,减少了运维人员的时间成本,更是增强了设备迁移的灵活性与备份的便捷。
3. 前置条件与约束1. 服务器硬件部署完毕。2. EXSI虚拟系统部署完毕。
4. 虚拟化配置及性能说明
系统名称处理性能(吞吐)虚拟化配置操作系统
NTM500MbpsCPU:4核心 内存:8G内存存储:>=256GBLinux
1GbpsCPU:4核心 ,内存:8G内存,存储:>=256GBLinux
2GbpsCPU:8核心 ,内存:16G内存,存储:>=256GBLinux
5. 带宽存储估算
用户速率大小全天24小时峰值速率下一天的存储量(TB)系数1天原始数据包存储(TB)180天原始数据包存储(TB)备注说明
100Mbps1.080.250.2748.6单用户下的原始数据包存储,考虑日常上网流量情况(流量波峰波谷、日间夜间等),可按评估系数0.25左右。【“系数”根据客户实际情况按需调整】
200Mbps2.160.250.5497.2
300Mbps3.240.250.81145.8
500Mbps5.40.251.35243
600Mbps6.480.251.62291.6
700Mbps7.560.251.89340.2
800Mbps8.640.252.16388.8
900Mbps9.720.252.43437.4
1Gbps10.80.252.7486
6. 阿里云NTM部署配置指导
6.1. 配置流程
序号配置步骤备注
1派网官网下载最新ISO文件并导入FREE版本即可,可使用升级包升为专业版
2EXSI系统中创建虚拟机至少分配2张网卡
3NTM系统安装
4东西向流量采集
5南北向流量采集
6.2.配置步骤6.2.1. 下载官方ISO准备安装环境,前往官网下载ISO。
操作步骤步骤1:进入官网www.panabit.com,前往下载中心下载相应ISO 步骤2:进入EXSI系统,在存储中创建一个目录,并将ISO上传到此目录中
6.2.2. 创建虚拟机操作步骤步骤1:在EXSI系统中创建一个虚拟机用来安装NTM系统 步骤2:虚拟机配置要求如下网卡数:2个CPU:>=2核内存:>=4GB硬盘大小:>=256GB网卡类型:E1000e
6.2.3. NTM系统安装创建好虚拟机并导入ISO后,开始系统安装。操作步骤步骤1:开始系统引导,耐心等待 步骤2:进入安装界面,选择“YES”即可 步骤3:选择系统盘,确认后回车进入下一步 步骤4:选择管理口,确认后进入管理地址配置 步骤5:管理地址,掩码,网关分别配置好后回车等待系统重启 步骤6:设备重启完成,此时可以通过管理地址进入Web管理页面
结果验证通过https://管理IP地址可进入设备Web管理界面
6.2.4. 东西向流量采集“东西”向流量,指的是服务器中各虚拟机之间的流量交互。操作步骤步骤1:开启虚拟机网卡混杂模式,虚拟交换机混杂模式,使NTM监控进入网卡的所有帧 结果验证使用同虚拟容器中另外两个虚拟机互PING,NTM上能够监控该虚拟机的ICMP报文交互,此时代表NTM已经能够监测其他虚拟机东西向流量交互
6.2.5. 南北向流量采集“南北”向流量,顾名思义为同虚拟容器中各虚拟机的进出服务器的上下行流量。当ESXI等容器中虚拟机遭受网络攻击并出现故障时,只能在收到用户报修, 或是zabbix发现异常流量后, 再登入到虚拟机上查询攻击来源,由于zabbix只有流量记录, 如果在被攻击时没有及时找出攻击点, 事后其实是无法回溯的。NTM产品的出现正好解决了这个痛点,通过监控各虚拟机“南北向“流量,可以准确定位到攻击发生的时间、来源、方式。
操作步骤步骤1:开启虚拟机网卡混杂模式,虚拟交换机混杂模式,使NTM监控进出该网卡所有帧。混杂模式:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。
结果验证使用同虚拟容器中其他虚拟机PING网关,NTM上能够监控该虚拟机的ICMP报文交互,此时代表NTM已经能够监测其他虚拟机南北向流量交互
7. FAQ
7.1. 流量不区分上下行解决方法:打开网络接口的混杂模式,网卡将自动区分流量上下行。 7.2. 镜像流量大,硬盘不够用解决方法:修改数据包留存策略,根据需求指定应用协议,源目IP或其他,抓包数量修改为只抓取前100,可以极大的节省空间。
页:
[1]