Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 BNG 配置为 IPFIX 中介,以便收集和导出 IPFIX 数据

IPFIX 调解使用 ipfix 分析服务代理。服务代理使用特定于 IPFIX 的输入和输出插件。这些插件用于配置中介器的收集和导出功能的各个方面,例如 TCP 端口和收集器地址。输入插件从下游设备接收 IPFIX 流数据。输出插件将数据转换为 IPFIX 格式并将其导出到 IPFIX 收集器。数据转换尤为重要,因为用户可能拥有使用不同格式的各种导出设备。在调解器上将格式转换为通用形式可减轻为不同格式使用特定收集器的需求。

输出插件的配置确定 IPFIX 中介器是通过 TCP 连接还是 TLS 连接向收集器发送记录:

  • 配置任何证书选项 (collector-ca-certificatecollector-certificate-keycollector-certificate) 时,调解器会尝试建立 TLS 连接。

  • 如果未配置任何证书选项,则调解器将尝试建立 TCP 连接。

要配置 IPFIX 调解,请执行以下作:

  1. 访问 IPFIX 服务代理配置。
  2. IPFIX 输入插件配置参数。
    注意:

    尽管每个参数都有一个默认值,但您必须至少配置一个参数才能启用插件。如果只配置一个参数并希望使用默认值,则必须指定该值。

    1. (选答)指定 IPFIX 中介可以拥有的最大 TCP 连接数。默认值为 100。

    2. (选答)指定 IPFIX 中介用于从下游设备接收 TCP 数据包的 TCP 端口。默认值为 4739。

    3. 指定接受来自下游设备的 IPFIX 数据包的 VRF(路由实例)的名称。

  3. 为输出插件配置参数。

    1. 指定上游 IPFIX 收集器的 IP 地址。这是强制性选项。

    2. (选答)指定用于在对等方(IPFIX 收集器)级别对对等方证书进行签名的证书路径。证书由受信任的证书颁发机构 (证书颁发机构) 提供,应采用 .pem 容器格式。

    3. (选答)指定服务器(IPFIX 收集器)用于对客户端进行身份验证并启用相互身份验证的客户端证书的路径。生成客户端和服务器证书时,客户端和服务器的完全限定域名 (FQDN) 存储在证书的“使用者备用名称”字段中。证书应采用 .pem 容器格式。

    4. (选答)指定为解密从对等方发送的加密消息而加载的私钥文件的路径。

    5. (选答)指定输出插件在重试与 IPFIX 收集器的连接之前等待多少秒。默认值为 20。

    6. (选答)指定 IPFIX 中介用于连接到 IPFIX 收集器的 TCP 端口。默认值为 4740。

    7. (选答)指定将 IPFIX 数据包路由到 IPFIX 收集器的 VRF(路由实例)的名称。默认值为 default

在以下示例配置中,输入插件的配置使 IPFIX 中介接受来自其下游设备的最多 125 个 TCP 连接。RI-ipfix-1 路由实例中接受记录。TCP 端口未配置,因此插件将侦听默认端口 4739。

输出插件的以下示例配置指定:

  • 记录导出到收集器,地址为 198.51.100.200。

  • 如果连接到收集器不成功,插件将尝试以 15 秒的间隔进行连接。

  • 该配置包括收集器证书的路径,因此导出连接是通过 TLS 而不是 TCP 进行的。

  • TCP 端口未配置,因此收集器应侦听默认端口 4740。

  • 收集器未配置任何路由实例,因此它接受默认路由实例中的数据包。

相关文档