Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BNGをIPFIXメディエーターとして設定し、IPFIXデータを収集およびエクスポートする

IPFIX メディエーションは、 ipfix 分析サービス・エージェントを使用します。サービス・エージェントは、IPFIX に固有の入出力プラグインを使用します。プラグインは、TCP ポートやコレクター・アドレスなど、メディエーターの収集およびエクスポート機能の側面を構成します。入力プラグインは、ダウンストリーム デバイスから IPFIX フロー データを取り込みます。出力プラグインは、データを IPFIX 形式に変換し、IPFIX コレクターにエクスポートします。ユーザーはさまざまな形式を使用してさまざまなエクスポートデバイスを持っている可能性があるため、データ変換は特に重要です。メディエーターでフォーマットを共通の形式に変換すると、異なるフォーマットに対して特定のコレクターを持つ必要性が軽減されます。

出力プラグインの構成によって、IPFIX メディエーターが TCP 接続または TLS 接続を介してコレクターにレコードを送信するかどうかが決まります。

  • 証明書オプション (collector-ca-certificatecollector-certificate-key、または collector-certificate) のいずれかを構成すると、メディエーターは TLS 接続を試みます。

  • どの証明書オプションも構成されていない場合、メディエーターは TCP 接続を試みます。

IPFIX メディエーションを構成するには、以下のようにします。

  1. IPFIX サービス・エージェント構成にアクセスします。
  2. IPFIX 入力プラグインのパラメーターを構成します。
    手記:

    各パラメーターにはデフォルト値がありますが、プラグインを使用可能にするには、少なくとも 1 つのパラメーターを構成する必要があります。パラメータを 1 つだけ設定し、デフォルト値を使用する場合は、その値を指定する必要があります。

    1. (オプション)IPFIX メディエーターが持つことができる TCP 接続の最大数を指定します。デフォルト値は 100 です。

    2. (オプション)IPFIX メディエーターがダウンストリーム デバイスから TCP パケットを受信するために使用する TCP ポートを指定します。デフォルト値は 4739 です。

    3. ダウンストリーム デバイスから IPFIX パケットを受け入れる VRF(ルーティング インスタンス)の名前を指定します。

  3. 出力プラグインのパラメーターを構成します。
    1. アップストリームの IPFIX コレクターの IP アドレスを指定します。これは必須オプションです。

    2. (オプション)ピア (IPFIX コレクター) レベルでピア証明書の署名に使用される証明書のパスを指定します。証明書は信頼できる認証局 (CA) によって提供され、.pem コンテナ形式である必要があります。

    3. (オプション)サーバー (IPFIX コレクター) がクライアントの認証と相互認証の使用可能化に使用するクライアント証明書のパスを指定します。クライアントとサーバーの両方の完全修飾ドメイン名 (FQDN) は、クライアント証明書とサーバー証明書の生成時に、証明書の [サブジェクトの別名] フィールドに格納されます。証明書は .pem コンテナ形式である必要があります。

    4. (オプション)ピアから送信された暗号化メッセージを復号化するためにロードされる秘密キー ファイルのパスを指定します。

    5. (オプション)IPFIX コレクターへの接続を再試行する前に出力プラグインが待機する秒数を指定します。デフォルト値は 20 です。

    6. (オプション)IPFIX メディエーターが IPFIX コレクターへの接続に使用する TCP ポートを指定します。デフォルト値は 4740 です。

    7. (オプション)IPFIXパケットがIPFIXコレクターにルーティングされるVRF(ルーティングインスタンス)の名前を指定します。デフォルト値は default です。

次の構成例では、IPFIX メディエーターがダウンストリーム デバイスから最大 125 の TCP 接続を受け入れるように入力プラグインが構成されています。レコードは、RI-ipfix-1ルーティングインスタンスで受け入れられます。TCP ポートは構成されていないため、プラグインは既定のポート 4739 で listen します。

出力プラグインの以下の構成例では、次のように指定しています。

  • レコードは 198.51.100.200 のコレクターにエクスポートされます。

  • コレクターへの接続が成功しない場合、プラグインは 15 秒間隔で接続を試みます。

  • 構成にはコレクター証明書のパスが含まれているため、エクスポート接続は TCP ではなく TLS 経由になります。

  • TCP ポートは構成されていないため、コレクターは既定のポート 4740 でリッスンする必要があります。

  • コレクタにはルーティングインスタンスが設定されていないため、デフォルトのルーティングインスタンスでパケットを受け入れます。