Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 BNG 配置为 IPFIX 调解器以收集和导出 IPFIX 数据

IPFIX 中介使用 ipfix 分析服务代理。服务代理使用特定于 IPFIX 的输入和输出插件。这些插件为调解器配置收集和导出功能的各个方面,例如 TCP 端口和收集器地址。输入插件从下游设备接收 IPFIX 流数据。输出插件将数据转换为 IPFIX 格式,并将其导出到 IPFIX 收集器。数据转换尤其重要,因为用户可能有各种使用不同格式的导出设备。将格式转换为调解器上的通用形式,可以减轻对不同格式的特定收集器的需求。

输出插件的配置决定了 IPFIX 调解器是通过 TCP 连接还是 TLS 连接将记录发送到收集器:

  • 配置任何证书选项(collector-ca-certificatecollector-certificate-keycollector-certificate)时,调解程序会尝试建立 TLS 连接。

  • 如果未配置任何证书选项,调解程序将尝试建立 TCP 连接。

要配置 IPFIX 中介:

  1. 访问 IPFIX 服务代理配置。
  2. 配置 IPFIX 输入插件的参数。
    注意:

    尽管每个参数都有一个默认值,但您必须至少配置其中一个参数才能启用插件。如果仅配置一个参数并希望使用默认值,则必须指定该值。

    1. (可选)指定 IPFIX 调解器可以拥有的最大 TCP 连接数。默认值为 100。

    2. (可选)指定 IPFIX 调解器用于从下游设备接收 TCP 数据包的 TCP 端口。默认值为 4739。

    3. 指定接受来自下游设备的 IPFIX 数据包的 VRF(路由实例)的名称。

  3. 配置输出插件的参数。
    1. 指定上游 IPFIX 收集器的 IP 地址。这是必需选项。

    2. (可选)指定用于在对等方(IPFIX 收集器)级别对等方证书进行签名的证书的路径。证书由受信任的证书颁发机构 (CA) 提供,应采用 .pem 容器格式。

    3. (可选)指定服务器(IPFIX 收集器)用于对客户端进行身份验证和启用相互身份验证的客户端证书的路径。生成客户端和服务器证书时,客户端和服务器的完全限定域名 (FQDN) 存储在证书的“使用者备用名称”字段中。证书应采用 .pem 容器格式。

    4. (可选)指定为解密从对等方发送的加密消息而加载的私钥文件的路径。

    5. (可选)指定输出插件在重试与 IPFIX 收集器的连接之前等待的秒数。默认值为 20。

    6. (可选)指定 IPFIX 调解器用于连接到 IPFIX 收集器的 TCP 端口。默认值为 4740。

    7. (可选)指定 IPFIX 数据包路由到 IPFIX 收集器的 VRF(路由实例)的名称。默认值为 default

在以下示例配置中,输入插件配置为 IPFIX 调解器接受来自其下游设备的最多 125 个 TCP 连接。RI-ipfix-1 路由实例中接受记录。TCP 端口未配置,因此插件侦听默认端口 4739。

输出插件的以下示例配置指定:

  • 记录将导出到收集器,地址为 198.51.100.200。

  • 如果与收集器的连接不成功,插件将尝试每隔 15 秒进行一次连接。

  • 配置包括收集器证书的路径,因此导出连接通过 TLS 而不是 TCP。

  • TCP 端口未配置,因此收集器应侦听默认端口 4740。

  • 没有为收集器配置路由实例,因此它接受默认路由实例中的数据包。