Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3541|回复: 0

NTM 本地虚拟化部署 安装配置指导

[复制链接]
发表于 2024-5-28 18:02:47 | 显示全部楼层 |阅读模式
1. 功能简介
NTM一种基于元数据的全流量溯源分析产品。能够满足用户对业务性能感知、网络未知威胁发现、原始数据包溯源等全方位需求,赋予用户细粒度的可观测、可追溯能力。一镜到底,提供从会话至原始数据的锁定;元数据、会话、威胁情报,加速异常分析定位;全流量留存,网络事后追责时的最后手段。

2. 应用场景
NTM全流量溯源分析产品的虚拟化容器部署是一种非常常见的场景,企业内只要部署服务器,并且服务器中使用VMware VSphere等容器进行虚拟机管理与调度的,都可以使用NTM产品对东西向,南北向流量进行监控采集留存,该部署方式不仅降低了企业的硬件成本,减少了运维人员的时间成本,更是增强了设备迁移的灵活性与备份的便捷。
image007.png

3. 前置条件与约束
1.    服务器硬件部署完毕。
2.    EXSI虚拟系统部署完毕。

4. 虚拟化配置及性能说明
  
系统名称
  
处理性能(吞吐)
虚拟化配置
操作系统
NTM
500Mbps
CPU:4核心
  
内存:8G内存
  
存储:>=256GB
Linux
1  Gbps
CPU:4核心 ,
  
内存:8G内存,
  
存储:>=256GB
Linux
2  Gbps
CPU:8核心 ,
  
内存:16G内存,
  
存储:>=256GB
Linux


5. 带宽存储估算
  
用户速率大小
  
全天24小时峰值速率下一天的存储量(TB)
系数
1天原始数据包存储(TB)
180天原始数据包存储(TB)
备注说明
100Mbps
1.08
0.25
0.27
48.6
单用户下的原始数据包存储,考虑日常上网流量情况(流量波峰波谷、日间夜间等),可按评估系数0.25左右。【“系数”根据客户实际情况按需调整】
200Mbps
2.16
0.25
0.54
97.2
300Mbps
3.24
0.25
0.81
145.8
500Mbps
5.4
0.25
1.35
243
600Mbps
6.48
0.25
1.62
291.6
700Mbps
7.56
0.25
1.89
340.2
800Mbps
8.64
0.25
2.16
388.8
900Mbps
9.72
0.25
2.43
437.4
1Gbps
10.8
0.25
2.7
486


6. 阿里云NTM部署配置指导
6.1. 配置流程
  
序号
  
配置步骤
备注
1
派网官网下载最新ISO文件并导入
FREE版本即可,可使用升级包升为专业版
2
EXSI系统中创建虚拟机
至少分配2张网卡
3
NTM系统安装

4
东西向流量采集

5
南北向流量采集



6.2.  配置步骤
6.2.1. 下载官方ISO
准备安装环境,前往官网下载ISO。

操作步骤
步骤1:进入官网www.panabit.com,前往下载中心下载相应ISO
image008.png
步骤2:进入EXSI系统,在存储中创建一个目录,并将ISO上传到此目录中
image009.png

6.2.2. 创建虚拟机
操作步骤
步骤1:在EXSI系统中创建一个虚拟机用来安装NTM系统
image010.png
步骤2:虚拟机配置要求如下
网卡数:2个
CPU:>=2核
内存:>=4GB
硬盘大小:>=256GB
网卡类型:E1000e

6.2.3. NTM系统安装
创建好虚拟机并导入ISO后,开始系统安装。
操作步骤
步骤1:开始系统引导,耐心等待
image011.png
步骤2:进入安装界面,选择“YES”即可
image012.png
步骤3:选择系统盘,确认后回车进入下一步
image013.png
image014.png
步骤4:选择管理口,确认后进入管理地址配置
image015.png
步骤5:管理地址,掩码,网关分别配置好后回车等待系统重启
image016.png
步骤6:设备重启完成,此时可以通过管理地址进入Web管理页面
image017.png

结果验证
通过https://管理IP地址可进入设备Web管理界面
image018.png

6.2.4. 东西向流量采集
“东西”向流量,指的是服务器中各虚拟机之间的流量交互。
操作步骤
步骤1:开启虚拟机网卡混杂模式,虚拟交换机混杂模式,使NTM监控进入网卡的所有帧
image019.png
image020.png
结果验证
使用同虚拟容器中另外两个虚拟机互PING,NTM上能够监控该虚拟机的ICMP报文交互,此时代表NTM已经能够监测其他虚拟机东西向流量交互
image021.jpg
image022.jpg

6.2.5. 南北向流量采集
“南北”向流量,顾名思义为同虚拟容器中各虚拟机的进出服务器的上下行流量。当ESXI等容器中虚拟机遭受网络攻击并出现故障时,只能在收到用户报修, 或是zabbix发现异常流量后, 再登入到虚拟机上查询攻击来源,由于zabbix只有流量记录, 如果在被攻击时没有及时找出攻击点, 事后其实是无法回溯的。NTM产品的出现正好解决了这个痛点,通过监控各虚拟机“南北向“流量,可以准确定位到攻击发生的时间、来源、方式。

操作步骤
步骤1:开启虚拟机网卡混杂模式,虚拟交换机混杂模式,使NTM监控进出该网卡所有帧。
混杂模式:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。
image019.png
image020.png

结果验证
使用同虚拟容器中其他虚拟机PING网关,NTM上能够监控该虚拟机的ICMP报文交互,此时代表NTM已经能够监测其他虚拟机南北向流量交互
image023.png
image024.png
image025.png


7. FAQ
7.1.   流量不区分上下行
解决方法:打开网络接口的混杂模式,网卡将自动区分流量上下行。
image026.png
                              
7.2.   镜像流量大,硬盘不够用
解决方法:修改数据包留存策略,根据需求指定应用协议,源目IP或其他,抓包数量修改为只抓取前100,可以极大的节省空间。
image027.png




您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-21 14:21 , Processed in 0.107286 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表