Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration du BNG en tant que médiateur IPFIX pour la collecte et l’exportation des données IPFIX

La médiation IPFIX utilise l’agent du service d’analyse ipfix . L’agent de service utilise des plug-ins d’entrée et de sortie spécifiques à IPFIX. Les plug-ins configurent des aspects des fonctions de collecte et d’exportation pour le médiateur, tels que les ports TCP et l’adresse du collecteur. Le plug-in d’entrée absorbe les données de flux IPFIX des périphériques en aval. Le plug-in de sortie convertit les données au format IPFIX et les exporte vers le collecteur IPFIX. La conversion de données est particulièrement importante car les utilisateurs peuvent avoir une variété d’appareils d’exportation utilisant différents formats. La conversion des formats en un formulaire commun sur le médiateur évite d’avoir des collecteurs spécifiques pour différents formats.

Votre configuration pour le plug-in de sortie détermine si le médiateur IPFIX envoie des enregistrements au collecteur via une connexion TCP ou TLS :

  • Lorsque vous configurez l’une des options de certificat (collector-ca-certificate, collector-certificate-keyou collector-certificate), le médiateur tente d’établir une connexion TLS.

  • Si aucune des options de certificat n’est configurée, le médiateur tente d’établir une connexion TCP.

Pour configurer la médiation IPFIX :

  1. Accédez à la configuration de l’agent de service IPFIX.
  2. Configurez les paramètres du plug-in d’entrée IPFIX.
    Note:

    Bien que chacun des paramètres ait une valeur par défaut, vous devez configurer au moins un des paramètres pour activer le plug-in. Si vous configurez un seul paramètre et que vous souhaitez utiliser la valeur par défaut, vous devez spécifier cette valeur.

    1. (Facultatif) Spécifiez le nombre maximal de connexions TCP que le médiateur IPFIX peut avoir. La valeur par défaut est 100.

    2. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour recevoir les paquets TCP des périphériques en aval. La valeur par défaut est 4739.

    3. Spécifiez le nom de l’instance de routage (VRF) où les paquets IPFIX sont acceptés à partir des périphériques en aval.

  3. Configurez les paramètres du plug-in de sortie.

    1. Spécifiez l’adresse IP du collecteur IPFIX en amont. Il s’agit d’une option obligatoire.

    2. (Facultatif) Spécifiez le chemin d’accès du certificat utilisé pour signer le certificat homologue au niveau de l’homologue (collecteur IPFIX). Le certificat est fourni par une autorité de certification approuvée et doit être au format conteneur .pem.

    3. (Facultatif) Spécifiez le chemin d’accès au certificat client que le serveur (collecteur IPFIX) utilise pour authentifier le client et activer l’authentification mutuelle. Le nom de domaine complet (FQDN) du client et du serveur est stocké dans le champ Subject Alternative Name (Autre nom de l’objet) du certificat lorsque les certificats client et serveur sont générés. Le certificat doit être au format conteneur .pem.

    4. (Facultatif) Spécifiez le chemin d’accès du fichier de clé privée chargé pour déchiffrer le message chiffré envoyé par l’homologue.

    5. (Facultatif) Spécifiez combien de secondes le plug-in de sortie attend avant de réessayer la connexion au collecteur IPFIX. La valeur par défaut est 20.

    6. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour se connecter au collecteur IPFIX. La valeur par défaut est 4740.

    7. (Facultatif) Spécifiez le nom de l’instance de routage (VRF) dans laquelle les paquets IPFIX sont routés vers le collecteur IPFIX. La valeur par défaut est default.

Dans l’exemple de configuration suivant, le plug-in d’entrée est configuré de sorte que le médiateur IPFIX accepte jusqu’à 125 connexions TCP à partir de ses périphériques en aval. Les enregistrements sont acceptés dans l’instance de routage RI-ipfix-1. Le port TCP n’étant pas configuré, le plug-in écoute sur le port par défaut, 4739.

L’exemple de configuration suivant pour le plug-in de sortie spécifie que :

  • Les enregistrements sont exportés au collecteur au 198.51.100.200.

  • Si la connexion au collecteur échoue, le plug-in tente d’établir la connexion à intervalles de 15 secondes.

  • La configuration inclut des chemins pour les certificats de collecteur, de sorte que la connexion d’exportation s’effectue via TLS plutôt que TCP.

  • Le port TCP n’étant pas configuré, le collecteur doit écouter sur le port par défaut, 4740.

  • Aucune instance de routage n’étant configurée pour le collecteur, celui-ci accepte les paquets dans l’instance de routage par défaut.

Documentation connexe