Netflow V9字段Id范围

Question

我对netflow v9中支持的字段in的范围感到困惑。我从79,127,128的网上来源获得了各种各样的数据。

我从

1. ( 79 ) - NetFlow v9定义了一组79个字段类型，而IPFIX具有相同的79个字段类型，以实现向后兼容性，但是从那里一直到238个字段类型。(https://www.ittsystems.com/netflow-vs-ipfix/)
2. (87) - https://www.plixer.com/support/netflow-v9/
3. ( 127 ) -这里列出了1到127个字段，types.html。
4. (128) -值0-127: NFv9 9-兼容https://www.iana.org/assignments/ipfix/ipfix.xhtml

一位使用思科ASA的客户说，netflow-v9支持字段233 (FW_EVENT)，并希望检查我们的流格式是否支持这种格式。

zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-data-zbf-log.pdf

我的问题是：

1. 作为一名开发人员，我可以在netflow-v9中使用哪些字段(数字)？
2. 我能用128以上的东西吗？思科是怎么做到的？

Answer 1

思科、网流V9和IPFIX在很大程度上是一样的，只是在细微的细节上有所不同。这两个字段都用16位字段表示字段ID ('Field Type‘if NFV9和'Field Specifier')。所有16位值(65536)都可被视为有效。

最初的NFV9 RFC给出了前79个值的规格，并声明思科网站将提供更多细节。引用：

当需要扩展性时，新的字段类型将添加到列表中。新的字段类型必须在导出程序和收集器上更新，但是NetFlow导出格式将保持不变。有关新更新的列表，请参阅http://www.cisco.com上的最新文档。

思科网站为字段ID最多128个提供规范，然后声明字段ID 128-32768与IPFIX字段注册中心中的字段ID匹配。

IANA IPFIX登记处当前列出了大约500个字段的规范。

IPFIX现场说明器的定义规定，具有顶级“企业”位集的值(值32768及更高值)是“特定于企业的”，而这些规范的权限将被授予以下企业编号。

从实用的角度来看，在Netflow V9的情况下，您不太可能在流记录中看到大于500个的值。

如果IPIFX注册中心中已经定义的大约500个字段中没有一个满足您的用例，您可以考虑使用提交新的字段规范。