Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BNG als IPFIX-Vermittler zum Sammeln und Exportieren von IPFIX-Daten konfigurieren

Bei der IPFIX-Vermittlung wird der ipfix Analytics-Service-Agent verwendet. Der Service-Agent verwendet IPFIX-spezifische Eingabe- und Ausgabe-Plug-ins. Die Plug-ins konfigurieren Aspekte der Sammel- und Exportfunktionen für den Mediator, wie z. B. TCP-Ports und die Kollektoradresse. Das Eingabe-Plug-in nimmt die IPFIX-Flussdaten von den nachgeschalteten Geräten auf. Das Ausgabe-Plug-In konvertiert die Daten in das IPFIX-Format und exportiert sie in den IPFIX-Collector. Die Datenkonvertierung ist besonders wichtig, da Benutzer möglicherweise eine Vielzahl von Exportgeräten in unterschiedlichen Formaten haben. Durch die Konvertierung der Formate in eine gemeinsame Form auf dem Mediator entfällt die Notwendigkeit, spezifische Kollektoren für verschiedene Formate zu haben.

Ihre Konfiguration für das Ausgabe-Plug-In bestimmt, ob der IPFIX-Mediator Datensätze über eine TCP-Verbindung oder eine TLS-Verbindung an den Collector sendet:

  • Wenn Sie eine der Zertifikatsoptionen (collector-ca-certificate, oder collector-certificate) konfigurieren, collector-certificate-keyversucht der Vermittler, eine TLS-Verbindung herzustellen.

  • Wenn keine der Zertifikatsoptionen konfiguriert ist, versucht der Vermittler, eine TCP-Verbindung herzustellen.

So konfigurieren Sie die IPFIX-Vermittlung:

  1. Greifen Sie auf die Konfiguration des IPFIX-Service-Agenten zu.
  2. Konfigurieren Sie Parameter für das IPFIX-Eingabe-Plug-in.
    Hinweis:

    Obwohl jeder der Parameter einen Standardwert hat, müssen Sie mindestens einen der Parameter konfigurieren, um das Plug-In zu aktivieren. Wenn Sie nur einen Parameter konfigurieren und den Standardwert verwenden möchten, müssen Sie diesen Wert angeben.

    1. (Optional) Geben Sie die maximale Anzahl von TCP-Verbindungen an, die der IPFIX-Mediator haben kann. Der Standardwert ist 100.

    2. (Optional) Geben Sie den TCP-Port an, den der IPFIX-Mediator zum Empfangen von TCP-Paketen von den nachgeschalteten Geräten verwendet. Der Standardwert ist 4739.

    3. Geben Sie den Namen der VRF (Routing-Instanz) an, in der IPFIX-Pakete von den nachgeschalteten Geräten akzeptiert werden.

  3. Konfigurieren Sie die Parameter für das Ausgabe-Plug-in.

    1. Geben Sie die IP-Adresse des vorgeschalteten IPFIX-Collectors an. Dies ist eine obligatorische Option.

    2. (Optional) Geben Sie den Pfad für das Zertifikat an, das zum Signieren des Peer-Zertifikats auf Peer-Ebene (IPFIX-Collector) verwendet wird. Das Zertifikat wird von einer vertrauenswürdigen Zertifizierungsstelle (CA) bereitgestellt und soll im PEM-Containerformat vorliegen.

    3. (Optional) Geben Sie den Pfad für das Clientzertifikat an, das der Server (IPFIX-Collector) verwendet, um den Client zu authentifizieren und die gegenseitige Authentifizierung zu aktivieren. Der vollqualifizierte Domänenname (FQDN) des Clients und des Servers wird beim Generieren der Client- und Serverzertifikate im Feld Alternativer Antragstellername des Zertifikats gespeichert. Das Zertifikat wird voraussichtlich im PEM-Containerformat vorliegen.

    4. (Optional) Geben Sie den Pfad der privaten Schlüsseldatei an, die geladen wird, um die verschlüsselte Nachricht zu entschlüsseln, die vom Peer gesendet wird.

    5. (Optional) Geben Sie an, wie viele Sekunden das Ausgabe-Plug-In wartet, bevor es die Verbindung zum IPFIX-Kollektor erneut herstellt. Der Standardwert ist 20.

    6. (Optional) Geben Sie den TCP-Port an, den der IPFIX-Mediator verwendet, um eine Verbindung mit dem IPFIX-Collector herzustellen. Der Standardwert ist 4740.

    7. (Optional) Geben Sie den Namen der VRF (Routing-Instanz) an, in der IPFIX-Pakete an den IPFIX-Collector weitergeleitet werden. Der Standardwert ist default.

In der folgenden Beispielkonfiguration ist das Eingabe-Plug-In so konfiguriert, dass der IPFIX-Mediator bis zu 125 TCP-Verbindungen von seinen nachgeschalteten Geräten akzeptiert. Datensätze werden in der RI-ipfix-1-Routing-Instanz akzeptiert. Der TCP-Port ist nicht konfiguriert, daher lauscht das Plug-In auf dem Standardport 4739.

Die folgende Beispielkonfiguration für das Ausgabe-Plug-In gibt Folgendes an:

  • Datensätze werden unter 198.51.100.200 an den Collector exportiert.

  • Wenn die Verbindung zum Kollektor nicht erfolgreich ist, versucht das Plug-In, die Verbindung in 15-Sekunden-Intervallen herzustellen.

  • Die Konfiguration umfasst Pfade für Collector-Zertifikate, sodass die Exportverbindung über TLS und nicht über TCP erfolgt.

  • Der TCP-Port ist nicht konfiguriert, daher wird erwartet, dass der Collector auf dem Standardport 4740 lauscht.

  • Für den Collector ist keine Routinginstanz konfiguriert, sodass er Pakete in der Standardroutinginstanz akzeptiert.

Zugehörige Dokumentation