IPFIX仲介では、 ipfix 分析サービスエージェントを使用します。サービスエージェントは、IPFIXに固有の入力および出力プラグインを使用します。プラグインは、TCPポートやコレクターアドレスなど、メディエーターの収集およびエクスポート機能の側面を設定します。入力プラグインは、ダウンストリームデバイスからIPFIXフローデータを受け取ります。出力プラグインは、データをIPFIX形式に変換し、IPFIXコレクターにエクスポートします。ユーザーはさまざまな形式を使用してさまざまなエクスポートデバイスを持っている可能性があるため、データ変換は特に重要です。メディエーターでフォーマットを共通の形式に変換することで、異なるフォーマットに対して特定のコレクターを用意する必要がなくなります。
出力プラグインの構成によって、IPFIX メディエーターが TCP 接続または TLS 接続のどちらを介してコレクターにレコードを送信するかが決まります。
- IPFIXサービスエージェント設定にアクセスします。
[edit services analytics agent]
user@host# edit service-agents ipfix
- IPFIX入力プラグインのパラメーターを設定します。
[edit services analytics agent service-agents ipfix]
user@host# edit inputs input-ipfix
注:
各パラメーターにはデフォルト値がありますが、プラグインを有効にするには、少なくとも1つのパラメーターを設定する必要があります。パラメーターを 1 つだけ設定し、デフォルト値を使用する場合は、その値を指定する必要があります。
(オプション)IPFIXメディエーターが持つことができるTCP接続の最大数を指定します。デフォルト値は100です。
[edit services analytics agent service-agents ipfix inputs input-ipfix]
user@host# set parameters maximum-connections number
(オプション)IPFIXメディエーターがダウンストリームデバイスからTCPパケットを受信するために使用するTCPポートを指定します。デフォルト値は4739です。
[edit services analytics agent service-agents ipfix inputs input-ipfix]
user@host# set parameters tcp-port port-number
ダウンストリームデバイスからIPFIXパケットを受け入れるVRF(ルーティングインスタンス)の名前を指定します。
[edit services analytics agent service-agents ipfix inputs input-ipfix]
user@host# set parameters vrf-name name
- 出力プラグインのパラメーターを設定します。
[edit services analytics agent service-agents ipfix]
user@host# edit outputs output-ipfix
アップストリームのIPFIXコレクターのIPアドレスを指定します。これは必須オプションです。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-address ip-address
(オプション)ピア(IPFIXコレクタ)レベルでピア証明書の署名に使用する証明書のパスを指定します。証明書は、信頼できる認証局(CA)によって提供され、.pemコンテナ形式であることが想定されます。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-ca-certificate file-path
(オプション)サーバー(IPFIXコレクター)がクライアントを認証し、相互認証を有効にするために使用するクライアント証明書のパスを指定します。クライアントとサーバーの両方の完全修飾ドメイン名(FQDN)は、クライアント証明書とサーバー証明書が生成されるときに証明書のサブジェクト代替名フィールドに保存されます。証明書は.pemコンテナ形式である必要があります。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-certificate file-path
(オプション)ピアから送信された暗号化メッセージを復号化するためにロードされる秘密鍵ファイルのパスを指定します。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-certificate-key file-path
(オプション)IPFIXコレクタへの接続を再試行する前に出力プラグインが待機する秒数を指定します。デフォルト値は20です。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-connection-retry-interval seconds
(オプション)IPFIXメディエーターがIPFIXコレクターに接続するために使用するTCPポートを指定します。デフォルト値は4740です。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-tcp-port port-number
(オプション)IPFIXパケットがIPFIXコレクターにルーティングされるVRF(ルーティングインスタンス)の名前を指定します。デフォルト値は defaultです。
[edit services analytics agent service-agents ipfix outputs output-ipfix]
user@host# set parameters collector-vrf-name vrf-name
次のサンプル設定では、IPFIXメディエーターがダウンストリームデバイスから最大125のTCP接続を受け入れるように入力プラグインが設定されています。RI-ipfix-1ルーティングインスタンスでレコードが受け入れられます。TCPポートが設定されていないため、プラグインはデフォルトポート4739でリッスンします。
[edit services analytics agent service-agents ipfix]
user@host# set inputs input-ipfix parameters maximum-connections 125
user@host# set inputs input-ipfix parameters vrf-name RI-ipfix-1
次の出力プラグインの設定例では、次のように指定しています。
レコードはコレクター(198.51.100.200)にエクスポートされます。
コレクターへの接続が成功しない場合、プラグインは 15 秒間隔で接続を試みます。
設定にはコレクター証明書のパスが含まれているため、エクスポート接続はTCPではなくTLSを介して行われます。
TCPポートが設定されていないため、コレクターはデフォルトポート4740でリッスンすることが想定されています。
コレクターにはルーティングインスタンスが設定されていないため、デフォルトのルーティングインスタンスでパケットを受け入れます。
user@host# edit services analytics agent service-agents ipfix
user@host# set outputs output-ipfix parameters collector-address 198.51.100.200
user@host# set outputs output-ipfix parameters collector-ca-certificate /var/tmp/ca.pem
user@host# set outputs output-ipfix parameters collector-certificate /var/tmp/client.pem
user@host# set outputs output-ipfix parameters collector-certificate-key /var/tmp/example.com.key
user@host# set outputs output-ipfix parameters collector-connection-retry-interval 15
