Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren des BNG als IPFIX-Mediator zum Sammeln und Exportieren von IPFIX-Daten

Bei der IPFIX-Vermittlung wird der ipfix Analysedienst-Agent verwendet. Der Service-Agent verwendet IPFIX-spezifische Ein- und Ausgabe-Plug-ins. Die Plug-Ins konfigurieren Aspekte der Sammel- und Exportfunktionen für den Mediator, wie z. B. TCP-Ports und die Kollektoradresse. Das Eingabe-Plug-In übernimmt die IPFIX-Datenströme von den nachgeschalteten Geräten. Das Ausgabe-Plug-In konvertiert die Daten in das IPFIX-Format und exportiert sie in den IPFIX-Collector. Die Datenkonvertierung ist besonders wichtig, da Benutzer möglicherweise über eine Vielzahl von exportierenden Geräten in unterschiedlichen Formaten verfügen. Durch die Konvertierung der Formate in eine gemeinsame Form auf dem Mediator entfällt die Notwendigkeit, spezifische Kollektoren für verschiedene Formate zu haben.

Ihre Konfiguration für das Ausgabe-Plug-In bestimmt, ob der IPFIX-Vermittler Datensätze über eine TCP-Verbindung oder eine TLS-Verbindung an den Collector sendet:

  • Wenn Sie eine der Zertifikatoptionen (collector-ca-certificate, , collector-certificate-keyoder collector-certificate) konfigurieren, versucht der Mediator, eine TLS-Verbindung herzustellen.

  • Wenn keine der Zertifikatoptionen konfiguriert ist, versucht der Mediator, eine TCP-Verbindung herzustellen.

So konfigurieren Sie die IPFIX-Vermittlung:

  1. Rufen Sie die Konfiguration des IPFIX-Service-Agenten auf.
  2. Konfigurieren Sie die Parameter für das IPFIX-Eingabe-Plug-In.
    Hinweis:

    Obwohl jeder der Parameter über einen Standardwert verfügt, müssen Sie mindestens einen der Parameter konfigurieren, um das Plug-In zu aktivieren. Wenn Sie nur einen Parameter konfigurieren und den Standardwert verwenden möchten, müssen Sie diesen Wert angeben.

    1. (Optional) Geben Sie die maximale Anzahl von TCP-Verbindungen an, die der IPFIX-Vermittler haben kann. Der Standardwert ist 100.

    2. (Optional) Geben Sie den TCP-Port an, den der IPFIX-Mediator verwendet, um TCP-Pakete von den nachgeschalteten Geräten zu empfangen. Der Standardwert ist 4739.

    3. Geben Sie den Namen der VRF (Routing-Instanz) an, in der IPFIX-Pakete von den nachgeschalteten Geräten akzeptiert werden.

  3. Konfigurieren Sie die Parameter für das Ausgabe-Plug-In.

    1. Geben Sie die IP-Adresse des Upstream-IPFIX-Collectors an. Dies ist eine obligatorische Option.

    2. (Optional) Geben Sie den Pfad für das Zertifikat an, das zum Signieren des Peerzertifikats auf Peerebene (IPFIX-Collector) verwendet wird. Das Zertifikat wird von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) bereitgestellt und muss voraussichtlich im PEM-Containerformat vorliegen.

    3. (Optional) Geben Sie den Pfad für das Clientzertifikat an, das der Server (IPFIX-Collector) verwendet, um den Client zu authentifizieren und die gegenseitige Authentifizierung zu aktivieren. Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Clients und des Servers wird beim Generieren der Client- und Serverzertifikate im Feld Alternativer Antragstellername des Zertifikats gespeichert. Es wird erwartet, dass das Zertifikat im PEM-Containerformat vorliegt.

    4. (Optional) Geben Sie den Pfad der Datei mit dem privaten Schlüssel an, die geladen wird, um die verschlüsselte Nachricht zu entschlüsseln, die vom Peer gesendet wird.

    5. (Optional) Geben Sie an, wie viele Sekunden das Ausgabe-Plug-In wartet, bevor es erneut versucht, eine Verbindung zum IPFIX-Collector herzustellen. Der Standardwert ist 20.

    6. (Optional) Geben Sie den TCP-Port an, über den der IPFIX-Mediator eine Verbindung zum IPFIX-Collector herstellt. Der Standardwert ist 4740.

    7. (Optional) Geben Sie den Namen der VRF (Routing-Instanz) an, in der IPFIX-Pakete an den IPFIX-Collector weitergeleitet werden. Der Standardwert ist default.

In der folgenden Beispielkonfiguration ist das Eingabe-Plug-In so konfiguriert, dass der IPFIX-Vermittler bis zu 125 TCP-Verbindungen von seinen nachgeschalteten Geräten akzeptiert. Datensätze werden in der RI-ipfix-1-Routinginstanz akzeptiert. Der TCP-Port ist nicht konfiguriert, sodass das Plug-In auf dem Standardport 4739 lauscht.

Die folgende Beispielkonfiguration für das Ausgabe-Plug-In gibt Folgendes an:

  • Datensätze werden unter 198.51.100.200 in den Collector exportiert.

  • Wenn die Verbindung zum Kollektor nicht erfolgreich ist, versucht das Plug-In, die Verbindung in 15-Sekunden-Intervallen herzustellen.

  • Die Konfiguration enthält Pfade für Collector-Zertifikate, sodass die Exportverbindung über TLS und nicht über TCP erfolgt.

  • Der TCP-Port ist nicht konfiguriert, daher wird erwartet, dass der Collector am Standardport 4740 lauscht.

  • Für den Collector ist keine Routinginstanz konfiguriert, sodass Pakete in der Standardroutinginstanz akzeptiert werden.

Zugehörige Dokumentation