服务咨询
全天高效服务
- Tel:13533491614
在商业环境中,NetFlow可能是网络流量统计的事实标准。nProbe包括NetFlow v5 / v9 / IPFIX探针和收集器,可用于处理NetFlow流。这意味着可以使用nProbe™:
nProbe提供三种版本,其主要区别如下表所示:
专业版 | 企业S | 企业M | 企业L † | |
---|---|---|---|---|
nDPI流量检测 | ✓ | ✓ | ✓ | ✓ |
flow收集 | ✓ | ✓ | ✓ | ✓ |
PF_RING加速 | ✓ | ✓ | ✓ | ✓ |
BGP插件 | ✓ | ✓ | ✓ | ✓ |
HTTP插件 | ✓ | ✓ | ✓ | |
DNS插件 | ✓ | ✓ | ✓ | |
DHCP插件 | ✓ | ✓ | ||
Diameter插件 | ✓ | ✓ | ||
Elastic / JSON / Kafka插件 | ✓ | ✓ | ||
FTP插件 | ✓ | ✓ | ||
IMAP / SMTP / POP插件 | ✓ | ✓ | ||
NetFlow-Lite插件 | ✓ | ✓ | ✓ | |
SIP / RTP插件 | ✓ | ✓ | ||
GTP V0 / V1 / V2插件 | ✓ | ✓ | ||
Modbus插件 | ✓ | ✓ | ✓ | ✓ |
Radius插件 | ✓ | ✓ | ||
IPv4数据包重复数据删除 | ✓ | ✓ | ✓ | ✓ |
原生ntap支持 | ✓ | ✓ | ||
flow收集重复数据删除 | ✓ | ✓ | ||
最大受监控主机数 | 无限(受可用的CPU /内存限制) | |||
每个主机/许可证的最大实例数 | 无限(受可用的CPU /内存限制) | |||
最大flow采集设备† † | 4 | 8 | 16 | 128 |
ZMQ导出器的最大数量(–zmq) | 4 | 8 | 16 | 32 |
IPS模式(-ips-mode)下的规则/池最大数量 | 4 | 8 | 32 | 256 |
††这是单个nProbe实例可以从中收集flow的flow设备的数量(例如NetFlow路由器)。
† Enterprise L为flow收集设备和ZMQ导出器提供了自定义功能和个性化的最大值。
当前的nProbe™版本远不只是一个简单的netflow探针。
nprobe -i eth0 --collector 127.0.0.1:2055
nprobe --collector-port 2055
nprobe --collector-port 2055 --collector 127.0.0.1:2055 -V 9
nprobe -i nf:0 --ips-mode ips-rules.conf --collector 127.0.0.1:2055
这种配置与探针模式相同,不同的是,nprobe本质上像一个桥接设备,将IPS策略应用于桥接的流量。
它可以是一个探针/探针+IPS,探针+收集器,收集器,或代理。在代理模式下,可以从/到IPFIX/NetFlow v5/v9进行转换,以便顺利地升级到较新的NetFlow协议版本,同时利用以前的协议版本。因此,你可以将来自v5路由器的流量转换成IPFIX,反之亦然。请注意,在某些组合中(例如从v9到v5),你可能会失去一些流量信息。
包大小(字节) | 每核 nProbe™持续吞吐量,无丢包 | |
---|---|---|
PF_RING ZC | ||
固定的64 | 3.32 Mpps,2.15 Gb /秒 | |
固定512 | 线速 | |
固定1500 | ||
随机64-1500 |
此模式可用于收集NetFlow v5/v9/IPFIX格式的流,并将流传递到ntopng。请查看以下nProbe收集NetFlow并通过ZMQ导出流的性能。
模板 | 入口速率 (NetFlow) | 出口速率 (ZMQ) |
---|---|---|
默认 | 12’000 数据包/秒 (平均19 记录/数据包) | 230’000 flows/秒 |
@NTOPNG@ | 8’500 数据包/秒 (平均19 记录/数据包) | 160’000 flows/秒 |
上表显示了使用以下配置进行出口性能测试的结果:
通过ZMQ导出流信息所需的带宽,对于10’000个流/秒,<30 Mbit /秒,此数字可根据实际流数进行缩放。例如,当处理平均1 Gbit / s的互联网流量时,所需的带宽峰值为<5 Mbit / s(注意:这在很大程度上取决于流量类型)。
下面你可以找到IPS模式在Linux和FreeBSD上使用低端电脑或中端电脑的预期性能。
设备 | 仅Vanilla Linux Bridge | Linux nProbe IPS | 仅Vanilla FreeBSD Bridge | FreeBSD nProbe IPS |
---|---|---|---|---|
PC Engines APU2 | 550 Mbps | 600 Mbps | 1 Gbps | 120 Mbps |
Intel E3 | 10 Gbps / 1.8 Mpps | 10 Gbps / 2.4 Mpps |
已经在以下条件下进行了测试:
nProbe™以二进制格式分发。安装后,nProbe™即可使用,不需要任何其他配置。为了在探针模式下正常工作,nProbe™需要查看/捕获感兴趣的流量。为此,在交换网络的情况下,需要镜像业务(VLAN或端口镜像)或将探针放置在业务的大部分经过的位置(例如,由边界网关)。在正常运行条件下,nProbe™将收集流量数据,并向指定收集器发出NetFlow v5/v9/ipfix流。任何标准的netflow收集器都可以用来分析nprobe™生成的流-尽管并不是所有的商业收集器都支持v9。nProbe™也可以与ntopng一起使用。在后一种情况下,优化的、可选的压缩和加密格式将用于数据交换,从而产生将监视部分与可视化和分析部分分离的轻量级监视体系结构。
如果您想知道nProbe和nProbe Cento之间的区别,可以阅读此页面以获取详细信息
NetFlow由Cisco Systems版权所有。
nProbe™是在美国和欧盟注册的商标。
nProbe™可通过可选插件扩展,仅nProbe Pro版本支持。您可以在下面找到所有二进制格式的当前可用插件列表。
可用插件:
二进制程序包可从http://packages.ntop.org中选择的平台使用。
nProbe根据EULA分发,并且每个系统都需要一个许可证。
nProbe™有两种版本:
版本 | Unix系统 | Windows(x64) |
---|---|---|
标准 | 没有插件和基本的基于libpcap的数据包捕获的探测。 | 与Unix相同 |
专业版插件 | 与具有本地PF_RING的Pro版本相同,并支持插件。 它还包括以下插件:流转储到MySQL数据库(流到MySQL)和BGP插件。 | 与Unix相同 |
nProbe™需支付少量费用,用于运行项目和为新开发项目提供资金。您可以在ntop电子商店网站上在线购买nProbe™副本,其中包括一年的支持。交易完成后,您可以立即下载nProbe™副本。
如果要测试nProbe™驱动器,则可以使用我们的预构建二进制软件包。
请注意,对于nProbe™OEM,转售,重新包装(包括设备嵌入),您需要书面的商业许可,该许可应其作者要求提供。