Konfigurieren des BNG als IPFIX-Mediator zum Sammeln und Exportieren von IPFIX-Daten
Bei der IPFIX-Vermittlung wird der ipfix
Analysedienst-Agent verwendet. Der Service-Agent verwendet IPFIX-spezifische Ein- und Ausgabe-Plug-ins. Die Plug-Ins konfigurieren Aspekte der Sammel- und Exportfunktionen für den Mediator, wie z. B. TCP-Ports und die Kollektoradresse. Das Eingabe-Plug-In übernimmt die IPFIX-Datenströme von den nachgeschalteten Geräten. Das Ausgabe-Plug-In konvertiert die Daten in das IPFIX-Format und exportiert sie in den IPFIX-Collector. Die Datenkonvertierung ist besonders wichtig, da Benutzer möglicherweise über eine Vielzahl von exportierenden Geräten in unterschiedlichen Formaten verfügen. Durch die Konvertierung der Formate in eine gemeinsame Form auf dem Mediator entfällt die Notwendigkeit, spezifische Kollektoren für verschiedene Formate zu haben.
Ihre Konfiguration für das Ausgabe-Plug-In bestimmt, ob der IPFIX-Vermittler Datensätze über eine TCP-Verbindung oder eine TLS-Verbindung an den Collector sendet:
Wenn Sie eine der Zertifikatoptionen (
collector-ca-certificate
, ,collector-certificate-key
odercollector-certificate
) konfigurieren, versucht der Mediator, eine TLS-Verbindung herzustellen.Wenn keine der Zertifikatoptionen konfiguriert ist, versucht der Mediator, eine TCP-Verbindung herzustellen.
So konfigurieren Sie die IPFIX-Vermittlung:
In der folgenden Beispielkonfiguration ist das Eingabe-Plug-In so konfiguriert, dass der IPFIX-Vermittler bis zu 125 TCP-Verbindungen von seinen nachgeschalteten Geräten akzeptiert. Datensätze werden in der RI-ipfix-1-Routinginstanz akzeptiert. Der TCP-Port ist nicht konfiguriert, sodass das Plug-In auf dem Standardport 4739 lauscht.
[edit services analytics agent service-agents ipfix] user@host# set inputs input-ipfix parameters maximum-connections 125 user@host# set inputs input-ipfix parameters vrf-name RI-ipfix-1
Die folgende Beispielkonfiguration für das Ausgabe-Plug-In gibt Folgendes an:
Datensätze werden unter 198.51.100.200 in den Collector exportiert.
Wenn die Verbindung zum Kollektor nicht erfolgreich ist, versucht das Plug-In, die Verbindung in 15-Sekunden-Intervallen herzustellen.
Die Konfiguration enthält Pfade für Collector-Zertifikate, sodass die Exportverbindung über TLS und nicht über TCP erfolgt.
Der TCP-Port ist nicht konfiguriert, daher wird erwartet, dass der Collector am Standardport 4740 lauscht.
Für den Collector ist keine Routinginstanz konfiguriert, sodass Pakete in der Standardroutinginstanz akzeptiert werden.
user@host# edit services analytics agent service-agents ipfix user@host# set outputs output-ipfix parameters collector-address 198.51.100.200 user@host# set outputs output-ipfix parameters collector-ca-certificate /var/tmp/ca.pem user@host# set outputs output-ipfix parameters collector-certificate /var/tmp/client.pem user@host# set outputs output-ipfix parameters collector-certificate-key /var/tmp/example.com.key user@host# set outputs output-ipfix parameters collector-connection-retry-interval 15