Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BNG を IPFIX Mediator として構成して IPFIX データを収集およびエクスポートする

IPFIX 仲介機能は、分析サービス・エージェントを ipfix 使用します。サービス・エージェントは、IPFIX に固有の入出力プラグインを使用します。プラグインは、TCP ポートやコレクター アドレスなど、仲介機能の収集およびエクスポート機能を構成します。入力プラグインは、ダウンストリーム・デバイスから IPFIX フロー・データを取り込みます。出力プラグインは、データを IPFIX フォーマットに変換し、IPFIX コレクターにエクスポートします。データ変換は、ユーザーが異なる形式を使用してさまざまなエクスポートデバイスを持つ場合があるため、特に重要です。このフォーマットをメディエーター上の共通フォームに変換することで、異なるフォーマットに対して特定のコレクターが必要になります。

出力プラグインの構成によって、IPFIX メディアターが TCP 接続または TLS 接続を介してコレクターにレコードを送信するかどうかが決まります。

  • 証明書オプション(collector-ca-certificate、 、またはcollector-certificate)のいずれかを設定すると、collector-certificate-key仲介者はTLS接続を試行します。

  • 証明書オプションのいずれも設定されていない場合、仲介者はTCP接続を試みます。

IPFIX 調整を構成するには、以下の手順に応じて以下を行います。

  1. IPFIX サービス・エージェント構成にアクセスします。
  2. IPFIX 入力プラグインのパラメーターを設定します。
    メモ:

    各パラメーターのデフォルト値はありますが、プラグインを有効にするには、パラメーターの少なくとも 1 つを設定する必要があります。1 つのパラメータのみを設定し、デフォルト値を使用する場合は、その値を指定する必要があります。

    1. (オプション)IPFIX メディエーターが持つ TCP 接続の最大数を指定します。デフォルト値は100です。

    2. (オプション)IPFIX mediatorがダウンストリーム・デバイスからTCPパケットを受信するために使用するTCPポートを指定します。デフォルト値は4739です。

    3. IPFIXパケットがダウンストリームデバイスから受け入れられるVRF(ルーティングインスタンス)の名前を指定します。

  3. 出力プラグインのパラメーターを設定します。

    1. アップストリームの IPFIX コレクターの IP アドレスを指定します。これは必須オプションです。

    2. (オプション)ピア(IPFIX コレクター)レベルでピア証明書の署名に使用される証明書のパスを指定します。この証明書は、信頼できる認証局(CA)によって提供され、.pemコンテナ形式である必要があります。

    3. (オプション)サーバー (IPFIX コレクター) がクライアントの認証と相互認証を有効にするために使用するクライアント証明書のパスを指定します。クライアントとサーバーの両方の完全修飾ドメイン名(FQDN)は、クライアント証明書とサーバー証明書が生成されると、証明書のサブジェクト代替名フィールドに格納されます。証明書は .pem コンテナ形式である必要があります。

    4. (オプション)ピアから送信された暗号化メッセージを復号化するために読み込まれる秘密鍵ファイルのパスを指定します。

    5. (オプション)IPFIX コレクターへの接続を再試行する前に、出力プラグインが待機する秒数を指定します。デフォルト値は20です。

    6. (オプション)IPFIX mediator が IPFIX コレクターへの接続に使用する TCP ポートを指定します。デフォルト値は4740です。

    7. (オプション)IPFIX パケットを IPFIX コレクターにルーティングする VRF(ルーティング インスタンス)の名前を指定します。デフォルト値は.default

以下のサンプル構成では、IPFIX mediator がダウンストリーム・デバイスから最大 125 の TCP 接続を受け入れるように、入力プラグインが構成されています。レコードは、RI-ipfix-1ルーティングインスタンスで受け入れられます。TCPポートは設定されていないので、プラグインはデフォルトポートの4739でリッスンします。

以下の出力プラグインの設定例では、以下を指定しています。

  • レコードは、198.51.100.200 でコレクターにエクスポートされます。

  • コレクターへの接続が成功しない場合、プラグインは 15 秒間隔で接続を試行します。

  • この構成にはコレクター証明書のパスが含まれるため、エクスポート接続はTCPではなくTLSを介しています。

  • TCPポートは設定されていないので、コレクターはデフォルトポートの4740でリッスンする必要があります。

  • コレクターにルーティングインスタンスは設定されていないので、デフォルトのルーティングインスタンスでパケットを受け入れます。

関連ドキュメント