iMC NTA/UBA典型配置案例

关键词:
功能需求

NTA_UBA典型配置配置案例

 

一、 组网需求:

网络中使用iMC NTA/UBA组件对设备流量进行分析,对用户行为进行审计。

二、 组网图:

无。

三、 配置步骤:

一.            设备开启netstream功能配合NTA/UBA做流量分析与用户行为审计。

1.      设备配置:

登录设备,在系统视图下执行命令

#

Ip netstream export host 172.16.0.22 9020

其中172.16.0.22NTA/UBA服务器的IP地址,9020为日志的接收端口

#

进入要监控接口的接口视图下执行命令

#

interface GigabitEthernet0/1

port link-mode route

ip address 172.16.0.1 255.255.255.0

ip netstream inbound

开启入方向的netstream监控

ip netstream outbound

开启出方向的netstream监控

#

2.      NTA/UBA配置:

登录iMC,点击业务-流量分析与审计-配置管理,如下图1

1

点击设备管理,如下图2

2

点击增加,在弹出页面中点击选择设备,将需要监控的设备添加进来,如下图3

3

注:这里也可以手工输入设备的IP地址来添加(即使设备不在iMC的管理中),但此时NTA/UBA无法从平台中读取到设备的相关配置,参数都得手工输入。

点击服务器管理,如下图4

4

在弹出页面中会列出当前iMC中部署了NTA/UBA服务组件的服务器,确定要用哪个服务器来做流量分析与审计,并点击其后面的修改,如下图5

5

在弹出页面中设置服务器管理的相关参数,一般情况下服务器IP,接收端口等信息不用修改,只需要在“网络流量分析”栏,“用户行为审计”栏勾选上需要监控的设备即可,完成后点击下发,如下图6

6

点击“流量分析任务管理”,如下图7

7

在弹出页面中点击增加,选择任务类型,以“接口类型为例如下图8

8

输入任务名称、需要监控的接口等,点击确定即可,如下图9

9

这样一个接口类型的流量分析任务就创建好了,等待5分钟左右,我们即可看到流量监控的详细信息,如下图10

10

注:服务器管理配置完成后,NTA/UBA就已经能够正确采集到设备的流量监控信息了,创建不同的流量分析任务只是将监控到的数据以不同的视图来展示出来。各种任务类型的说明如下:

接口类型:将流量是从这些接口流过的部分存为一个视图。

主机类型:将流量中包含或者排除这些主机地址的部分存为一个视图。

应用类型:将流量中包含这些应用的部分存为一个视图。

VPN类型:将流量中是从这些VPN实例流过的部分存为一个视图。

VLAN类型:将流量中流入或者流出这些VLAN的部分存为一个视图。

业务间类型:将流量中是从这些业务流入或流出的部分存为一个视图。

采集器类型:将流量中是从这个采集器采集的部分存为一个视图。

NTA可以根据IP地址、传输层端口号识别出四层应用,所以这里可以看到不同应用类型的流量大小。

 

点击业务-流量分析与审计-用户行为审计,如下图11

11

输入本次审计的条件参数,如下图12

12

完成后点击查询即可看到网路中具体的流量使用情况,如下图13

13

注:如果审计周期较长,查询可能会花费较长时间。也可在业务-流量分析与审计-配置管理-用户行为审计任务管理中配置行为审计任务,将审计条件保存为模板,以后只需点击此模板即可看到审计结果。

 

二.            设备开启sflow功能配合NTA/UBA做流量分析与用户行为审计。

1.      设备配置

登录设备,在系统视图下执行命令

#

sflow agent 172.16.0.1

配置sflow agent地址,也即默认情况下的日志源地址

sflow collector 1 ip 172.16.0.20 port 9020

新建采集器,指定sflow日志目的地址和端口号

#

进入要监控接口的接口视图下执行命令

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 172.16.0.1 255.255.255.0

sflow sampling-rate 2000

配置sflow的采集速率

sflow flow collector 1

配置接口引用的采集器

#

2.      NTA/UBA配置

登录iMC,点击业务-流量分析与审计-配置管理,如下图14

14

点击设备管理,如下图15

15

点击增加,在弹出页面中点击选择设备,将需要监控的设备添加进来,启用”sflow设置并设置sflow采样比等参数,如下图16

16

注:这里也可以手工输入设备的IP地址来添加(即使设备不在iMC的管理中),但此时NTA/UBA无法从平台中读取到设备的相关配置,参数都得手工输入。

点击服务器管理,如下图17

17

在弹出页面中会列出当前iMC中部署了NTA/UBA服务组件的服务器,确定要用哪个务器来做流量分析与审计,并点击其后面的修改,如下图18

18

在弹出页面中设置服务器管理的相关参数,一般情况下服务器IP,接收端口等信息不用修改,只需要在“网络流量分析”栏,“用户行为审计”栏勾选上需要监控的设备即可(做用户行为审计时还需配置内网信息),完成后点击下发,如下图19

19

点击“流量分析任务管理”,如下图20

20

在弹出页面中点击增加,选择任务类型,如下图21

21

输入任务名称、需要监控的接口等,点击确定即可,如下图22

22

这样一个接口类型的流量分析任务就创建好了,等待5分钟左右,我们即可看到流量监控的详细信息,如下图23

23

注:服务器管理配置完成后,NTA/UBA就已经正确采集到设备的流量监控信息了,创建不同的流量分析任务只是将监控到的数据以不同的视图来展示出来。

接口类型:将流量是从这些接口流过的部分存为一个视图。

主机类型:将流量中包含或者排除这些主机地址的部分存为一个视图。

应用类型:将流量中包含这些应用的部分存为一个视图。

VPN类型:将流量中是从这些VPN实例流过的部分存为一个视图。

VLAN类型:将流量中流入或者流出这些VLAN的部分存为一个视图。

业务间类型:将流量中是从这些业务流入或流出的部分存为一个视图。

采集器类型:将流量中是从这个采集器采集的部分存为一个视图。

NTA可以根据IP地址、传输层端口号识别出四层应用,所以这里可以看到不同应用类型的流量大小,后面使用UBA做行为审计时,UBA可以根据数据包的报文头等内容识别出七层应用类型。

点击业务-流量分析与审计-用户行为审计,如下图24

24

输入本次审计的条件参数,如下图25

25

完成后点击查询即可看到网路中具体的流量使用情况,如下图26

26

注:由于sflow协议采用的是一种对报文采样的处理方式,所以sflow不能客观精确地反映出用户的网络行为。所以在做用户行为审计时请不要采用sflow日志来监控设备流量。

 

三.            DIG探针配合NTA/UBA做流量分析和用户行为审计。

1.      安装DIG探针服务器

root用户登录系统,解压NTA安装包并进入install目录,执行chmod +x ./probe_installer.sh命令使probe_installer.sh脚本具有可执行权限,之后执行./probe_installer.sh命令进行采集器安装,界面提示输入安装路径,如下图27

27

安装程序默认会将采集器安装到/usr/local/目录下,直接回车即可进行安装,界面提示输入采集器监听的网卡,如下图28

28

输入采集器所在服务器接收设备流量镜像的网卡的名称,本例中监听的网卡名称为eth0,输入监听网卡名称之后,系统会提示用户是否增加其他网卡。本例中不增加其他网卡,输入“n”后,系统提示用户选择是否支持监控IPv6流量,如果采集器监控的网络流量中包含IPv6流量则输入“y”,否则输入“n”。本例中不支持IPv6流量监控,输入“n”,如下图29

29

设置采集器是否需要密码,如果选择y后系统会提示用户输入密码,如下图30

30

此处设置的密码应和iMC服务器增加采集器时输入的密码一致,如果采集器没有设置密码则iMC服务器在增加采集器时不需要输入任何参数。完成后系统会提示重新启动,探针安装完后必须重新启动系统才能生效,如下图31

31

采集器会在服务器重启时自动运行,使用ps -ax | grep probe命令查看是否存在probe进程;如果存在,则采集器已经启动。如果发现没有启动可以进入采集器安装目录下的unba/bin目录; 执行 ./monitor命令来进行手工启动。

2.      设备端口镜像配置

进入需要镜像的接口执行命令

#

interface GigabitEthernet0/1

port link-mode route

ip address 172.16.0.1 255.255.255.0

mirroring-group 1 mirroring-port both

进出方向的流量都镜像到别的端口

#

进入连接探针服务器的接口执行命令

#

interface GigabitEthernet0/1

port link-mode route

mirroring-group 1 monitor-port

接收镜像过来的流量并发送给探针服务器

#

3.      NTA/UBA服务器上FTP服务安装

探针生成的日志会通过FTP方式上传到NTA/UBA服务器,所以需首先在NTA/UBA服务器上开启FTP服务,这里使用3CDeamon为例,开启FTP服务并创建具有读写权限的admin用户,设置共享目录为D:\NTA\,如下图32

32

完成后最好在探针服务器上使用使用admin用户进行文件上传和下载操作,以验证读写权限是否正常。

4.      NTA/UBA配置

登录iMC页面,进入业务-流量分析与审计-配置管理,点击采集器管理,如下图33

33

点击“增加来新增一个采集器,输入采集器的IP,密码等参数,如下图34

34

进入服务器管理,点击修改,给服务器添加FTP相关的参数,并勾选刚才增加的采集器点击下发,如下图35

35

采集器下发成功后,NTA/UBA就可以正常接收到采集器发送过来的DIG日志了,并进行后续的处理。

点击“流量分析任务管理”,如下图36

36

在弹出页面中点击增加,选择“采集器”任务,如下图37

37

输入任务名称和所要监控的采集器,确定完成流量任务的创建。5分钟后就可在采集器任务中查看到具体的流量信息了。

 

四、 配置关键点:

1.  某些设备可能不支持日志功能的配置,部署前请先确认。

2.  NTAlicense是以设备个数来计算的,探针本身不消耗license,但是一个探针通常对应一个设备,所有消耗一个license节点。

 

案例信息

案例类型:典型配置
案例号:KMS - 24985
创建时间:2014年8月6日
更新时间:2014年8月7日
发布时间:2014/8/7 9:41:16
文章密级:游客可见
有效期:长期有效
发布者:杨银波 [y10225]
点击次数:3115
评论平均得分:0
关键词:
产品线:iMC产品
产品系列:
产品版本:
技术分类:网络管理技术

常用操作
收藏