IMC

交换机需要配置的，参考：

 设备开启sflow功能配合NTA/UBA做流量分析与用户行为审计。

1.      设备配置

登录设备，在系统视图下执行命令

#

sflow agent 172.16.0.1

配置sflow agent地址，也即默认情况下的日志源地址

sflow collector 1 ip 172.16.0.20 port 9020

新建采集器，指定sflow日志目的地址和端口号

#

进入要监控接口的接口视图下执行命令

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 172.16.0.1 255.255.255.0

sflow sampling-rate 2000

配置sflow的采集速率

sflow flow collector 1

配置接口引用的采集器

#

2.      NTA/UBA配置

登录iMC，点击“业务-流量分析与审计-配置管理”，如下图14：

图14

点击“设备管理”，如下图15：

图15

点击“增加”，在弹出页面中点击“选择设备”，将需要监控的设备添加进来，启用”sflow设置”并设置sflow采样比等参数，如下图16：

图16

注：这里也可以手工输入设备的IP地址来添加（即使设备不在iMC的管理中），但此时NTA/UBA无法从平台中读取到设备的相关配置，参数都得手工输入。

点击“服务器管理”，如下图17：

图17

在弹出页面中会列出当前iMC中部署了NTA/UBA服务组件的服务器，确定要用哪个务器来做流量分析与审计，并点击其后面的修改，如下图18：

图18

在弹出页面中设置服务器管理的相关参数，一般情况下服务器IP，接收端口等信息不用修改，只需要在“网络流量分析”栏，“用户行为审计”栏勾选上需要监控的设备即可（做用户行为审计时还需配置内网信息），完成后点击下发，如下图19：

图19

点击“流量分析任务管理”，如下图20：

图20

在弹出页面中点击”增加“，选择任务类型，如下图21：

图21

输入任务名称、需要监控的接口等，点击确定即可，如下图22：

图22

这样一个接口类型的流量分析任务就创建好了，等待5分钟左右，我们即可看到流量监控的详细信息，如下图23：

图23

注：服务器管理配置完成后，NTA/UBA就已经正确采集到设备的流量监控信息了，创建不同的流量分析任务只是将监控到的数据以不同的视图来展示出来。

接口类型：将流量是从这些接口流过的部分存为一个视图。

主机类型：将流量中包含或者排除这些主机地址的部分存为一个视图。

应用类型：将流量中包含这些应用的部分存为一个视图。

VPN类型：将流量中是从这些VPN实例流过的部分存为一个视图。

VLAN类型：将流量中流入或者流出这些VLAN的部分存为一个视图。

业务间类型：将流量中是从这些业务流入或流出的部分存为一个视图。

采集器类型：将流量中是从这个采集器采集的部分存为一个视图。

NTA可以根据IP地址、传输层端口号识别出四层应用，所以这里可以看到不同应用类型的流量大小，后面使用UBA做行为审计时，UBA可以根据数据包的报文头等内容识别出七层应用类型。

点击“业务-流量分析与审计-用户行为审计”，如下图24：

图24

输入本次审计的条件参数，如下图25：

图25

完成后点击“查询”即可看到网路中具体的流量使用情况，如下图26：

图26

注：由于sflow协议采用的是一种对报文采样的处理方式，所以sflow不能客观精确地反映出用户的网络行为。所以在做用户行为审计时请不要采用sflow日志来监控设备流量。

这个需要交换机配置sflow的，交换机那边配置了否