Netflow V9字段ID范围

Question

我对netflow v9支持的字段ID范围感到困惑。我从79、127、128的在线资源中获得了各种各样的数据。

我从上面获得了以上信息

1. （79）-NetFlow v9定义了一组79种字段类型，而IPFIX具有79种字段类型，以实现向后兼容，但从此一直到238种。（https://www.ittsystems.com/netflow-vs-ipfix/）
2. （87）-https://www.plixer.com/support/netflow-v9/
3. （127）-https://www.ibm.com/support/knowledgecenter/en/SSCVHB_1.1.0/collector/cnpi_collector_v9_fiels_types.html此处列出了1到127个字段。
4. （128）-值0-127：兼容NFv9 https://www.iana.org/assignments/ipfix/ipfix.xhtml

使用cisco ASA的客户说netflow-v9支持字段233（FW_EVENT），并想检查我们的流格式是否支持该字段。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-data-zbf-log.pdf

我的问题：

1. 作为开发人员，我可以在netflow-v9中使用哪些字段（数字）？
2. 我可以使用128以上的值吗？思科如何做到这一点？

Answer 1

Cisco Netflow V9和IPFIX大致相同，仅在次要方面有所不同。两者都以16位字段表示字段ID（如果是NFV9，则表示“字段类型”；如果是“字段说明符”，则表示“字段说明符”）。所有16位值（65536）都可以视为有效。

原始NFV9 RFC给出了first 79 values的规范，并声明思科网站将提供更多详细信息。引用：

  

需要扩展性时，将添加新的字段类型   到列表。新字段类型必须在   导出器和收集器，但将保留NetFlow导出格式   不变。请参阅最新的文档，网址为   http://www.cisco.com获取新更新的列表。

Cisco网站提供了field IDs up to 128的规范，然后指出字段ID 128到32768与IANA IPFIX字段注册表中的字段ID匹配。

IANA IPFIX registry当前列出了大约500个字段的规范。

IPFIX Field Specifier的定义规定，设置了最高“企业”位的值（值32768及更大）是“特定于企业的”，并且将在以下{{ 3}}。

从实用的角度来看，对于Netflow V9，您不太可能在流记录中看到大于500的值。

如果IANA IPIFX注册表中已经定义的大约500个字段都不满足您的用例，则可以Enterprise number进行考虑。