BNGをIPFIXメディエーターとして設定し、IPFIXデータを収集およびエクスポートする
IPFIX メディエーションは、 ipfix
分析サービス・エージェントを使用します。サービス・エージェントは、IPFIX に固有の入出力プラグインを使用します。プラグインは、TCP ポートやコレクター・アドレスなど、メディエーターの収集およびエクスポート機能の側面を構成します。入力プラグインは、ダウンストリーム デバイスから IPFIX フロー データを取り込みます。出力プラグインは、データを IPFIX 形式に変換し、IPFIX コレクターにエクスポートします。ユーザーはさまざまな形式を使用してさまざまなエクスポートデバイスを持っている可能性があるため、データ変換は特に重要です。メディエーターでフォーマットを共通の形式に変換すると、異なるフォーマットに対して特定のコレクターを持つ必要性が軽減されます。
出力プラグインの構成によって、IPFIX メディエーターが TCP 接続または TLS 接続を介してコレクターにレコードを送信するかどうかが決まります。
証明書オプション (
collector-ca-certificate
、collector-certificate-key
、またはcollector-certificate
) のいずれかを構成すると、メディエーターは TLS 接続を試みます。どの証明書オプションも構成されていない場合、メディエーターは TCP 接続を試みます。
IPFIX メディエーションを構成するには、以下のようにします。
次の構成例では、IPFIX メディエーターがダウンストリーム デバイスから最大 125 の TCP 接続を受け入れるように入力プラグインが構成されています。レコードは、RI-ipfix-1ルーティングインスタンスで受け入れられます。TCP ポートは構成されていないため、プラグインは既定のポート 4739 で listen します。
[edit services analytics agent service-agents ipfix] user@host# set inputs input-ipfix parameters maximum-connections 125 user@host# set inputs input-ipfix parameters vrf-name RI-ipfix-1
出力プラグインの以下の構成例では、次のように指定しています。
レコードは 198.51.100.200 のコレクターにエクスポートされます。
コレクターへの接続が成功しない場合、プラグインは 15 秒間隔で接続を試みます。
構成にはコレクター証明書のパスが含まれているため、エクスポート接続は TCP ではなく TLS 経由になります。
TCP ポートは構成されていないため、コレクターは既定のポート 4740 でリッスンする必要があります。
コレクタにはルーティングインスタンスが設定されていないため、デフォルトのルーティングインスタンスでパケットを受け入れます。
user@host# edit services analytics agent service-agents ipfix user@host# set outputs output-ipfix parameters collector-address 198.51.100.200 user@host# set outputs output-ipfix parameters collector-ca-certificate /var/tmp/ca.pem user@host# set outputs output-ipfix parameters collector-certificate /var/tmp/client.pem user@host# set outputs output-ipfix parameters collector-certificate-key /var/tmp/example.com.key user@host# set outputs output-ipfix parameters collector-connection-retry-interval 15