弊社が取り扱っているイタリアntop社のntopng, nProbeはLinux上で最適動作します。本記事ではLinuxが苦手といった方でもntop製品を正しく設定できるように、それぞれの利用シーンに合わせた設定の例と必要なライセンスの種類をご紹介します。
(2022年2月9日(水) ebookの記載を追加)
文:ジュピターテクノロジー よしひろ
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに無料公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
単一拠点利用の場合
本社のルーター/スイッチのトラフィックを見える化したいといった遠隔拠点を含まない構成であれば、NetFlowプローブであるnProbeは必須ではありません(※単一拠点利用でもrawフローを長期保存(例: 5年等)するといった要件があればnProbeを利用するといった構成もあります)。
単一拠点利用の場合、ntopngだけの利用となり構成は図1の通りです。
図1 ntopng直接接続
単一拠点利用時の必要ライセンス
図1記載の弊社アプライアンスBlueVault io ntopngであれば、直接接続に対応しているので、何も注意する必要はありません。
ここでは、読者の方がntop製品をインストールするサーバーを準備する場合に必要なライセンスをご紹介します。
必要ソフトウェアライセンス:
製品番号 製品
NTOP-NGEL-M1 ntopng Enterprise L ライセンス;1年サポート付き
※注意 トラフィックレコーディングは別途オプション必要、最大IF数32,nIndex最大16
もしくは、
製品番号 製品
NTOP-NGELB-M1 ntopng Enterprise L バンドルライセンス、n2disk1G&nProbe Proライセンス含む;1年サポート付き
※注意 トラフィックレコーディングサポート、ntopng:最大IF数32,nIndex最大16、nProbe pro:4エクスポータ/インスタンス(NetFlow, ZeroMQ共通)
単一拠点利用時は、NTOP-NGEL-M1、もしくはNTOP-NGELB-M1の選択となります。
単一拠点利用時の設定例
ntopng側の設定例は、以下の通りです。
-iオプションには、実機環境で確認したインターフェイス名を設定してください。
$ sudo cat /etc/ntopng/ntopng.conf
-i=enp3s0f1
-m=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
-G=/var/run/ntopng.pid
-W=443
-p=/etc/ntopng/ndpi.protos
-F=nindex
遠隔拠点のネットワーク機器からxFlowを受信する場合
遠隔拠点にあるネットワーク機器からxFlowを受信する場合、構成は図2の通りとなります。
図2 遠隔拠点からxFlow(NetFlow v5/v9, sFlow)を受信する場合
遠隔拠点のネットワーク機器からxFlowを受信する場合の必要ライセンス
図2記載の弊社アプライアンスBlueVault io ntopngであれば、遠隔拠点からのxFlow受信に対応しているので、何も注意する必要はありません。
ここでは、読者の方がntop製品をインストールするサーバーを準備する場合に必要なライセンスをご紹介します。
必要ソフトウェアライセンス:
製品番号 製品
NTOP-NGEL-M1 ntopng Enterprise L ライセンス;1年サポート付き
※注意 トラフィックレコーディングは別途オプション必要、最大IF数32,nIndex最大16
及び
NTOP-PES-M1 nProbe Enterprise S ライセンス;1年サポート付き
※注意 8エクスポータ/インスタンス(NetFlow, ZeroMQ共通)
もしくは、
製品番号 製品
NTOP-NGELB-M1 ntopng Enterprise L バンドルライセンス、n2disk1G&nProbe Proライセンス含む;1年サポート付き
※注意 遠隔からのxFlow受信ではトラフィックレコーディングは利用できない、ntopng:最大IF数32,nIndex最大16、nProbe pro:4エクスポータ/インスタンス(NetFlow, ZeroMQ共通)
図2の構成の場合は、NTOP-NGEL-M1とNTOP-PES-M1の組み合わせ、もしくはNTOP-NGELB-M1の選択となります。
ネットワーク機器からxFlowを受信する場合の設定例
ntopng側の設定例は、以下の通りです。
$ sudo cat /etc/ntopng/ntopng.conf
-i=tcp://127.0.0.1:5556
-m=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
-G=/var/run/ntopng.pid
-W=443
-p=/etc/ntopng/ndpi.protos
-F=nindex
nProbe側の設定例は、以下の通りです。
$ sudo cat /etc/nprobe/nprobe.conf
-i=none
-n=none
--collector-port=2055
-T="@NTOPNG@"
--zmq="tcp://*:5556
遠隔拠点設置のnProbeからフロー情報を受信する場合
遠隔拠点に設置しているルーター/スイッチが、xFlowエクスポートをサポートしていない場合に本構成を採用します。
本構成で必要なのは、ntopngとnProbeとなります。
遠隔拠点が複数であれば、nProbeを足していってください。
図3 遠隔拠点のnProbeからフロー情報を受信する場合
遠隔拠点のnProbeからフロー情報を受信する場合の必要ライセンス
貴社がntop製品をインストールするサーバーを準備する場合に必要なライセンスをご紹介します。
必要ソフトウェアライセンス:
製品番号 製品
NTOP-NGEL-M1 ntopng Enterprise L ライセンス;1年サポート付き
※注意 トラフィックレコーディングは別途オプション必要、最大IF数32,nIndex最大16
及び
NTOP-PES-M1 nProbe Enterprise S ライセンス;1年サポート付き
※注意 8エクスポータ/インスタンス(NetFlow, ZeroMQ共通)
図3の構成の場合は、NTOP-NGEL-M1とNTOP-PES-M1の組み合わせとなります。
遠隔拠点のnProbeからフロー情報を受信する場合の設定例
ntopng側の設定例は、以下の通りです。
$ sudo cat /etc/ntopng/ntopng.conf
-i=tcp://*:5556c
-m=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
-G=/var/run/ntopng.pid
-W=443
-p=/etc/ntopng/ndpi.protos
-F=nindex
nProbe側の設定例は、以下の通りです。
-iオプションには、実機環境で確認したnProbeがトラフィックを収集するNIC(NW機器のミラーポートと直接接続しているNIC)のインターフェイス名を設定してください。
--zmqオプションには、ntopngのIPアドレスを指定してください。
$ sudo cat /etc/nprobe/nprobe.conf
-i=enp4s0
--zmq=tcp://192.168.91.128:5556
--zmq-probe-mode
-n=none
-T=@NTOPNG@
最後に
如何でしたでしょうか?
ntop製品のライセンスは複雑であるといった印象が、本記事で少しでも解消できれば幸いです。
リアルタイムトラフィック分析、トラフィックレコーディングのご用命は、弊社までご連絡ください。
ntop製品のお問い合わせ
本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
