Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration du BNG en tant que médiateur IPFIX pour la collecte et l’exportation des données IPFIX

La médiation IPFIX utilise l’agent de ipfix service analytique. L’agent de service utilise des plug-ins d’entrée et de sortie spécifiques à IPFIX. Les plug-ins configurent certains aspects des fonctions de collecte et d’exportation pour le médiateur, tels que les ports TCP et l’adresse du collecteur. Le plug-in d’entrée reçoit les données de flux IPFIX des appareils en aval. Le plug-in de sortie convertit les données au format IPFIX et les exporte vers le collecteur IPFIX. La conversion des données est particulièrement importante car les utilisateurs peuvent disposer d’une variété d’appareils d’exportation utilisant différents formats. La conversion des formats en une forme commune sur le médiateur permet d’éviter d’avoir des collecteurs spécifiques pour différents formats.

La configuration du plug-in de sortie détermine si le médiateur IPFIX envoie des enregistrements au collecteur via une connexion TCP ou TLS :

  • Lorsque vous configurez l’une des options de certificat (collector-ca-certificate, collector-certificate-keyou collector-certificate), le médiateur tente d’établir une connexion TLS.

  • Si aucune des options de certificat n’est configurée, le médiateur tente d’établir une connexion TCP.

Pour configurer la médiation IPFIX :

  1. Accédez à la configuration de l’agent de service IPFIX.
  2. Configurez les paramètres du plug-in d’entrée IPFIX.
    Note:

    Bien que chacun des paramètres ait une valeur par défaut, vous devez configurer au moins l’un des paramètres pour activer le plug-in. Si vous ne configurez qu’un seul paramètre et que vous souhaitez utiliser la valeur par défaut, vous devez spécifier cette valeur.

    1. (Facultatif) Spécifiez le nombre maximal de connexions TCP que le médiateur IPFIX peut avoir. La valeur par défaut est 100.

    2. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour recevoir les paquets TCP des périphériques en aval. La valeur par défaut est 4739.

    3. Spécifiez le nom du VRF (instance de routage) où les paquets IPFIX sont acceptés à partir des périphériques en aval.

  3. Configurez les paramètres du plug-in de sortie.

    1. Spécifiez l’adresse IP du collecteur IPFIX en amont. Il s’agit d’une option obligatoire.

    2. (Facultatif) Spécifiez le chemin d’accès au certificat utilisé pour signer le certificat homologue au niveau de l’homologue (collecteur IPFIX). Le certificat est fourni par une autorité de certification (CA) de confiance et doit être au format conteneur .pem.

    3. (Facultatif) Spécifiez le chemin d’accès au certificat client que le serveur (collecteur IPFIX) utilise pour authentifier le client et activer l’authentification mutuelle. Le nom de domaine complet (FQDN) du client et du serveur est stocké dans le champ Nom alternatif de l’objet du certificat lorsque les certificats client et serveur sont générés. Le certificat est censé être au format de conteneur .pem.

    4. (Facultatif) Spécifiez le chemin d’accès du fichier de clé privée chargé pour déchiffrer le message chiffré envoyé par l’homologue.

    5. (Facultatif) Spécifiez le nombre de secondes d’attente du plug-in de sortie avant de réessayer la connexion au collecteur IPFIX. La valeur par défaut est 20.

    6. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour se connecter au collecteur IPFIX. La valeur par défaut est 4740.

    7. (Facultatif) Spécifiez le nom du VRF (instance de routage) dans lequel les paquets IPFIX sont acheminés vers le collecteur IPFIX. La valeur par défaut est default.

Dans l’exemple de configuration suivant, le plug-in d’entrée est configuré de manière à ce que le médiateur IPFIX accepte jusqu’à 125 connexions TCP à partir de ses périphériques en aval. Les enregistrements sont acceptés dans l’instance de routage RI-ipfix-1. Le port TCP n’étant pas configuré, le plug-in écoute sur le port par défaut, 4739.

L’exemple de configuration suivant pour le plug-in de sortie spécifie que :

  • Les enregistrements sont exportés vers le collecteur à l’adresse 198.51.100.200.

  • Si la connexion au collecteur échoue, le plug-in tente d’établir la connexion toutes les 15 secondes.

  • La configuration inclut des chemins d’accès pour les certificats de collecteur, de sorte que la connexion d’exportation se fait via TLS plutôt que TCP.

  • Le port TCP n’étant pas configuré, le collecteur doit écouter sur le port par défaut, 4740.

  • Aucune instance de routage n’est configurée pour le collecteur, de sorte qu’il accepte les paquets dans l’instance de routage par défaut.

Documentation connexe