Диапазон идентификаторов полей Netflow V9

Question

Диапазон идентификаторов полей Netflow V9

Меня смущает диапазон идентификаторов полей, которые поддерживаются в netflow v9. Я получаю разнообразные данные из онлайн-источников 79, 127, 128.

Я получил вышеуказанную информацию от

(79) - NetFlow v9 имеет набор из 79 определенных типов полей, тогда как IPFIX имеет те же 79 для обратной совместимости, но затем оттуда до 238. ( https://www.ittsystems.com/netflow-vs-ipfix/)
(87) - https://www.plixer.com/support/netflow-v9/
(127) - здесь перечислены от 1 до 127 полей https://www.ibm.com/support/knowledgecenter/en/SSCVHB_1.1.0/collector/cnpi_collector_v9_fiels_types.html.
(128) - Значения 0-127: NFv9-совместимый https://www.iana.org/assignments/ipfix/ipfix.xhtml

Клиент, использующий cisco ASA, сказал, что netflow-v9 поддерживает поле 233 (FW_EVENT), и хотел проверить, поддерживает ли наш формат потока это.

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-data-zbf-log.pdf

Мой вопрос:

Как разработчик, какой диапазон полей (чисел) я могу использовать в netflow-v9?
Могу ли я использовать что-нибудь выше 128? Как cisco делает это?

1

netflow

Источник

user614611 31 янв '19 в 20:49

0 ответов

Другие вопросы по тегам netflow

user898671 16 окт '19 в 02:08 2019-10-16 02:08 · Answer 1 · 2019-10-16 02:08

Cisco Netflow V9 и IPFIX в значительной степени одинаковы и отличаются лишь незначительными деталями. Оба представляют идентификатор поля ("Тип поля", если NFV9 и "Спецификатор поля") с 16-битным полем. Все 16-битные значения (65536) могут считаться действительными.

Исходный RFC NFV9 дал спецификации первых 79 значений и заявил, что веб-сайт Cisco предоставит более подробную информацию. Цитата:

Когда требуется расширяемость, новые типы полей будут добавлены в список. Новые типы полей должны быть обновлены в Exporter и Collector, но формат экспорта NetFlow останется неизменным. Обновленный список см. В последней документации на http://www.cisco.com/.

На веб-сайте Cisco представлены спецификации для идентификаторов полей до 128, а затем указано, что идентификаторы полей от 128 до 32768 соответствуют таковым в реестре полей IANA IPFIX.

В реестре IANA IPFIX в настоящее время перечислены спецификации примерно 500 полей.

Определение спецификатора поля IPFIX предусматривает, что значения с установленным верхним битом "Enterprise" (значения 32768 и выше) являются "специфическими для предприятия", и полномочиям для их спецификаций будет предоставлен следующий номер Enterprise.

С прагматической точки зрения, в случае Netflow V9 вы вряд ли увидите значения больше 500 в записях потоков.

Если ни одно из примерно 500 полей, уже определенных в реестре IANA IPIFX, не соответствует вашему варианту использования, вы можете отправить на рассмотрение новые спецификации полей.