Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration du BNG en tant que médiateur IPFIX pour collecter et exporter des données IPFIX

La médiation IPFIX utilise l’agent de service d’analyse ipfix . L’agent de service utilise des plug-ins d’entrée et de sortie spécifiques à IPFIX. Les plug-ins configurent certains aspects des fonctions de collecte et d’exportation pour le médiateur, tels que les ports TCP et l’adresse du collecteur. Le plug-in d’entrée récupère les données de flux IPFIX des appareils en aval. Le plug-in de sortie convertit les données au format IPFIX et les exporte vers le collecteur IPFIX. La conversion des données est particulièrement importante car les utilisateurs peuvent avoir une variété d’appareils d’exportation utilisant différents formats. La conversion des formats en une forme commune sur le médiateur élimine le besoin d’avoir des collecteurs spécifiques pour différents formats.

La configuration du plug-in de sortie détermine si le médiateur IPFIX envoie des enregistrements au collecteur via une connexion TCP ou TLS :

  • Lorsque vous configurez l’une des options de certificat (collector-ca-certificate, collector-certificate-keyou collector-certificate), le médiateur tente d’établir une connexion TLS.

  • Si aucune des options de certificat n’est configurée, le médiateur tente d’établir une connexion TCP.

Pour configurer la médiation IPFIX :

  1. Accédez à la configuration de l’agent de service IPFIX.
  2. Configurez les paramètres du plug-in d’entrée IPFIX.
    Remarque :

    Bien que chacun des paramètres ait une valeur par défaut, vous devez configurer au moins un des paramètres pour activer le plug-in. Si vous ne configurez qu’un seul paramètre et que vous souhaitez utiliser la valeur par défaut, vous devez spécifier cette valeur.

    1. (Facultatif) Spécifiez le nombre maximal de connexions TCP que le médiateur IPFIX peut avoir. La valeur par défaut est 100.

    2. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour recevoir les paquets TCP des périphériques en aval. La valeur par défaut est 4739.

    3. Spécifiez le nom de l’instance de routage (VRF) dans laquelle les paquets IPFIX sont acceptés à partir des équipements en aval.

  3. Configurez les paramètres du plug-in de sortie.

    1. Spécifiez l’adresse IP du collecteur IPFIX en amont. Il s’agit d’une option obligatoire.

    2. (Facultatif) Spécifiez le chemin d’accès au certificat utilisé pour signer le certificat homologue au niveau du pair (collecteur IPFIX). Le certificat est fourni par une autorité de certification approuvée (AC) et doit être au format conteneur .pem.

    3. (Facultatif) Spécifiez le chemin d’accès au certificat client que le serveur (collecteur IPFIX) utilise pour authentifier le client et activer l’authentification mutuelle. Le nom de domaine complet (FQDN) du client et du serveur est stocké dans le champ Subject Alternative Name du certificat lorsque les certificats client et serveur sont générés. Le certificat doit être au format conteneur .pem.

    4. (Facultatif) Spécifiez le chemin du fichier de clé privée chargé pour déchiffrer le message chiffré envoyé par l’homologue.

    5. (Facultatif) Spécifiez le nombre de secondes que le plug-in de sortie attend avant de retenter la connexion au collecteur IPFIX. La valeur par défaut est 20.

    6. (Facultatif) Spécifiez le port TCP que le médiateur IPFIX utilise pour se connecter au collecteur IPFIX. La valeur par défaut est 4740.

    7. (Facultatif) Spécifiez le nom de l’instance de routage (VRF) dans laquelle les paquets IPFIX sont acheminés vers le collecteur IPFIX. La valeur par défaut est default.

Dans l’exemple de configuration suivant, le plug-in d’entrée est configuré de manière à ce que le médiateur IPFIX accepte jusqu’à 125 connexions TCP à partir de ses périphériques en aval. Les enregistrements sont acceptés dans l’instance de routage RI-ipfix-1. Le port TCP n’étant pas configuré, le plug-in écoute donc sur le port par défaut, 4739.

L’exemple de configuration suivant pour le plug-in de sortie spécifie que :

  • Les enregistrements sont exportés vers le collecteur au 198.51.100.200.

  • Si la connexion au collecteur échoue, le plug-in tente d’établir la connexion toutes les 15 secondes.

  • La configuration inclut des chemins pour les certificats du collecteur, de sorte que la connexion d’exportation se fait via TLS plutôt que TCP.

  • Le port TCP n’est pas configuré, de sorte que le collecteur doit écouter sur le port par défaut, 4740.

  • Aucune instance de routage n’est configurée pour le collecteur, il accepte donc les paquets dans l’instance de routage par défaut.

Documentation connexe