NTM部署说明

失控小歪

一．   部署拓扑

                              

通常情况下，Panabit NTM以旁路模式部署，接收用户的镜像流量。NTM 可以选择全量或按需存储数据包，用于用户流量的分析与原始数据包溯源。

二．   NTM数据接口设置

1） 登陆NTM管理页面，设置数据接口的工作模式为“监控模式”；

2） 将NTM的数据口接到核心交换机上；

3） 在核心交换机上将流量镜像到NTM数据口所接的端口上。

三．   流量的上下行区分

旁路部署的情况下，可以通过交换机将网络的上行流量和下行流量分别镜像到NTM的两个不同网卡，由此来区分流量的上下行。

1） 针对上行数据做分析，交换机镜像“出”的数据，NTM接入位置设置“接内网”；

2） 针对下行数据做分析，交换机镜像“入”的数据，NTM接入位置设置“接外网”。

但是在实际环境中，因为交换机镜像端口的限制，很多用户是将上下行流量都通过同一个网口镜像过来，这个时候，就需要其他设置来告诉NTM流量的上下行区分规则：

3.1  伪IP防护

进入【应用识别】-【引擎参数】，打开“伪IP防护”功能，将内网IP地址段填进去，NTM就可以区分上下行了。这个功能打开后，实际上就告诉了NTM，哪些IP是内网的，源地址为内网IP的流量就是上行流量；源地址为外网IP的就是下行流量。具体配置如下图所示：

3.2   网卡混合模式

很多情况下，我们可能无法确切地知道内网合法的IP地址段，因此无法通过设置【伪IP防护】来区分上下行，此时可以通过开启【网卡混合模式】来进行区分。

设置方法：

进入【系统维护】-【网络接口】，点击网卡右侧的编辑按钮，开启混合模式。

在没有设置【伪IP防护】的情况下，开启网卡混合模式后，系统根据会话的源地址和目的地址流量来决定上下行，源->目方向为上行，目->源方向为下行，并且以会话的源地址创建内网在线用户（TCP会话根据三次握手确定源地址，UDP会话的根据首包确定源地址）。

注意：开启该功能需要升级到NTM v22.8.16（核心代号“唐r2”）及以后的版本。

                              

四．   数据抓包策略

默认情况下，NTM会对数据包进行全量留存：

    数据包全量留存时，对硬盘空间的要求会比较高，有时候我们可以只针对部分关键流量进行留存，以节省存储资源。例如，我们只想存储HTTP协议的数据包，可以配置抓包策略，如下图：

hsh0109

那是不是虚拟机里也可以装？

无情铁手

hsh0109 发表于 2022-7-19 08:30
那是不是虚拟机里也可以装？

我在VMware虚拟机装过，可以安装

jcghaier

请问AMD 四核外加一个Intel的双口网卡可用吗？

courien

无情铁手 发表于 2022-7-19 08:34
我在VMware虚拟机装过，可以安装

请问下，虚拟机安装后监控网卡怎么配置才能把流量转进去，谢谢

gzsuker

NTM部署，请问Panabit里面是怎样设置的？我用的是 伪IP防护的连接模式，只用一根网线。

因为我用的是AX50C，网口不够，请问可以使用管理口来监控吗？

失控小歪

gzsuker 发表于 2023-4-3 20:47
NTM部署，请问Panabit里面是怎样设置的？我用的是 伪IP防护的连接模式，只用一根网线。

因为我用的是AX5 ...

NTM是另一套系统，您可以用Panabit，将流量镜像给NTM。
另外管理口是不能用来监控的哈~

rockey

单个镜像的话 网卡设置接内还是接外

TopCarl

失控小歪 发表于 2023-4-4 09:35
NTM是另一套系统，您可以用Panabit，将流量镜像给NTM。
另外管理口是不能用来监控的哈~

"用Panabit，将流量镜像给NTM"是完全镜像还是指“系统对接”-“日志对接”-“流量日志”里面的采样流量对接？

lzj1995

TopCarl 发表于 2023-8-18 23:42
"用Panabit，将流量镜像给NTM"是完全镜像还是指“系统对接”-“日志对接”-“流量日志”里面的采样流量对 ...

完全镜像