1

我对 netflow v9 中支持的字段 ID 范围感到困惑。我从 79、127、128 的在线资源中获得了各种数据。

我从上面得到了上述信息

  1. (79) - NetFlow v9 定义了一组 79 个字段类型,而 IPFIX 具有相同的 79 个,以实现向后兼容性,但从那里一直到 238 个。(https://www.ittsystems.com/netflow -vs-ipfix/ )
  2. (87) - https://www.plixer.com/support/netflow-v9/
  3. (127) - 这里列出了 1 到 127 个字段https://www.ibm.com/support/knowledgecenter/en/SSCVHB_1.1.0/collector/cnpi_collector_v9_fiels_types.html
  4. (128) - 值 0-127:NFv9 兼容 https://www.iana.org/assignments/ipfix/ipfix.xhtml

一位使用 cisco ASA 的客户说 netflow-v9 支持字段 233 (FW_EVENT),并想检查我们的流格式是否支持该字段。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-data- zbf-log.pdf

我的问题:

  1. 作为开发人员,我可以在 netflow-v9 中使用哪些范围的字段(数字)?
  2. 我可以使用128以上的任何东西吗?思科是如何做到这一点的?
4

1 回答 1

1

Cisco Netflow V9IPFIX大体相同,仅在细微的细节上有所不同。两者都表示具有 16 位字段的字段 ID(如果是 NFV9,则为“字段类型”和“字段说明符”)。所有 16 位值 (65536) 均可视为有效。

最初的 NFV9 RFC 给出了前 79 个值的规范,并声明 Cisco 网站将提供更多详细信息。引用:

当需要可扩展性时,新的字段类型将被添加到列表中。必须在 Exporter 和 Collector 上更新新字段类型,但 NetFlow 导出格式将保持不变。有关最新更新的列表,请参阅http://www.cisco.com上的最新文档 。

Cisco 网站提供了最多 128 个字段 ID 的规范,然后声明字段 ID 128 到 32768 与 IANA IPFIX 字段注册表中的字段匹配。

IANA IPFIX 注册表目前列出了大约 500 个字段的规范。

IPFIX 字段说明符的定义规定,设置了最高“企业”位的值(值 32768 和更大)是“企业特定的”,并且这些规范的权限将被赋予以下企业编号

从实用的角度来看,对于 Netflow V9,您不太可能在流记录中看到大于 500 的值。

如果 IANA IPIFX 注册表中已经定义的大约 500 个字段都不符合您的用例,您可以提交新的字段规范以供考虑。

于 2019-10-15T23:08:09.840 回答