在分析 Netflow V9 时,我能够正确获取大多数字段 id 及其值,如
http://www.iana.org/assignments/ipfix/ipfix.xml
但我得到 40000 ,40001, 40002, ... 而不是 224, 225, 226, ... 对于 NAT 文件,但是我检索到的每个字段的值都是正确的。
我确信所有字段的 id 和 value 都正确获得。我不知道真正的问题是什么。我尝试将主机转换为网络字节,反之亦然
field_type = socket.ntohs(struct.unpack('H', template_data[a:b])[0])
PS我使用cisco路由器进行netflow v9。
Cisco 不使用 IPFIX,而是使用 NetFlow v9。虽然 IPFIX 源自 Cisco 的 NetFlow v9 规范,但还是有一些区别。其中之一是 IPFIX 允许使用 PrivateEnterpriseNumber 在字段类型编号中为每个供应商命名空间。NetFlow v9 没有这样的功能,因此供应商必须任意选择一个数字范围来报告他们的自定义字段,并希望没有其他人选择相同的范围。在这种情况下,我猜您是从 Cisco ASA 获得 NetFlow 票证的,它确实使用了 40000-40005 范围内的多个字段。
有一个名为“ Cisco ASA 5500 Series Implementation Note for NetFlow Collectors, 8.3 ”的文档描述了这些字段。