Configuration du BNG en tant que médiateur IPFIX pour la collecte et l’exportation des données IPFIX
La médiation IPFIX utilise l’agent du service d’analyse ipfix
. L’agent de service utilise des plug-ins d’entrée et de sortie spécifiques à IPFIX. Les plug-ins configurent des aspects des fonctions de collecte et d’exportation pour le médiateur, tels que les ports TCP et l’adresse du collecteur. Le plug-in d’entrée absorbe les données de flux IPFIX des périphériques en aval. Le plug-in de sortie convertit les données au format IPFIX et les exporte vers le collecteur IPFIX. La conversion de données est particulièrement importante car les utilisateurs peuvent avoir une variété d’appareils d’exportation utilisant différents formats. La conversion des formats en un formulaire commun sur le médiateur évite d’avoir des collecteurs spécifiques pour différents formats.
Votre configuration pour le plug-in de sortie détermine si le médiateur IPFIX envoie des enregistrements au collecteur via une connexion TCP ou TLS :
Lorsque vous configurez l’une des options de certificat (
collector-ca-certificate
,collector-certificate-key
oucollector-certificate
), le médiateur tente d’établir une connexion TLS.Si aucune des options de certificat n’est configurée, le médiateur tente d’établir une connexion TCP.
Pour configurer la médiation IPFIX :
Dans l’exemple de configuration suivant, le plug-in d’entrée est configuré de sorte que le médiateur IPFIX accepte jusqu’à 125 connexions TCP à partir de ses périphériques en aval. Les enregistrements sont acceptés dans l’instance de routage RI-ipfix-1. Le port TCP n’étant pas configuré, le plug-in écoute sur le port par défaut, 4739.
[edit services analytics agent service-agents ipfix] user@host# set inputs input-ipfix parameters maximum-connections 125 user@host# set inputs input-ipfix parameters vrf-name RI-ipfix-1
L’exemple de configuration suivant pour le plug-in de sortie spécifie que :
Les enregistrements sont exportés au collecteur au 198.51.100.200.
Si la connexion au collecteur échoue, le plug-in tente d’établir la connexion à intervalles de 15 secondes.
La configuration inclut des chemins pour les certificats de collecteur, de sorte que la connexion d’exportation s’effectue via TLS plutôt que TCP.
Le port TCP n’étant pas configuré, le collecteur doit écouter sur le port par défaut, 4740.
Aucune instance de routage n’étant configurée pour le collecteur, celui-ci accepte les paquets dans l’instance de routage par défaut.
user@host# edit services analytics agent service-agents ipfix user@host# set outputs output-ipfix parameters collector-address 198.51.100.200 user@host# set outputs output-ipfix parameters collector-ca-certificate /var/tmp/ca.pem user@host# set outputs output-ipfix parameters collector-certificate /var/tmp/client.pem user@host# set outputs output-ipfix parameters collector-certificate-key /var/tmp/example.com.key user@host# set outputs output-ipfix parameters collector-connection-retry-interval 15