NTM部署
一. 部署拓扑
通常情况下,Panabit NTM以旁路模式部署,接收用户的镜像流量。NTM 可以选择全量或按需存储数据包,用于用户流量的分析与原始数据包溯源。
二. NTM数据接口设置
1) 登陆NTM管理页面,设置数据接口的工作模式为“监控模式”;
2) 将NTM的数据口接到核心交换机上;
3) 在核心交换机上将流量镜像到NTM数据口所接的端口上。
三. 流量的上下行区分
旁路部署的情况下,可以通过交换机将网络的上行流量和下行流量分别镜像到NTM的两个不同网卡,由此来区分流量的上下行。
1) 针对上行数据做分析,交换机镜像“出”的数据,NTM接入位置设置“接内网”;
2) 针对下行数据做分析,交换机镜像“入”的数据,NTM接入位置设置“接外网”。
但是在实际环境中,因为交换机镜像端口的限制,很多用户是将上下行流量都通过同一个网口镜像过来,这个时候,就需要其他设置来告诉NTM流量的上下行区分规则:
3.1 伪IP防护
进入【应用识别】-【引擎参数】,打开“伪IP防护”功能,将内网IP地址段填进去,NTM就可以区分上下行了。这个功能打开后,实际上就告诉了NTM,哪些IP是内网的,源地址为内网IP的流量就是上行流量;源地址为外网IP的就是下行流量。具体配置如下图所示:
3.2 网卡混合模式
很多情况下,我们可能无法确切地知道内网合法的IP地址段,因此无法通过设置【伪IP防护】来区分上下行,此时可以通过开启【网卡混合模式】来进行区分。
设置方法:
进入【系统维护】-【网络接口】,点击网卡右侧的编辑按钮,开启混合模式。
在没有设置【伪IP防护】的情况下,开启网卡混合模式后,系统根据会话的源地址和目的地址流量来决定上下行,源->目方向为上行,目->源方向为下行,并且以会话的源地址创建内网在线用户(TCP会话根据三次握手确定源地址,UDP会话的根据首包确定源地址)。
注意:开启该功能需要升级到NTM v22.8.16(核心代号“唐r2”)及以后的版本。
四. 数据抓包策略
默认情况下,NTM会对数据包进行全量留存:
数据包全量留存时,对硬盘空间的要求会比较高,有时候我们可以只针对部分关键流量进行留存,以节省存储资源。例如,我们只想存储HTTP协议的数据包,可以配置抓包策略,如下图:
Tags: