ID campo errato in Netflow V9

Question

Durante l'analisi di NetFlow V9, sono in grado di ottenere correttamente la maggior parte degli ID campi insieme ai propri valori che è definito in

http://www.iana.org/assignments/ipfix/ipfix.xml

Ma sto ottenendo 40000, 40001, 40002, ... invece di 224, 225, 226, ... per i depositi NAT, Tuttavia i valori per ciascun campo che ho recuperato sono corretti.

Sono certo che l'ID e il valore di tutti i campi sono ottenuti correttamente. Non so qual è il vero problema.Ho provato con la conversione dell'host a Network Byte e viceversa usando

field_type = socket.ntohs(struct.unpack('H', template_data[a:b])[0])

.

P.S.Ho usato il router Cisco per NetFlow V9.

Answer 1

Cisco non utilizza IPFIX, ma NETFLOW V9.Sebbene IPFIX sia derivato dalle specifiche NetFlow V9 di Cisco, ci sono alcune differenze.Uno di questi è che IPFIX consente gli spazi dei nomi per fornitore nei numeri del tipo di campo usando il PrivateReRisEnumber.NetFlow V9 non ha una tale struttura, quindi i fornitori devono scegliere arbitrariamente una gamma di numeri per segnalare i loro campi personalizzati e sperare che nessun altro prendesse la stessa gamma.In questo caso, suppongo di ottenere i tuoi biglietti per il tuo netflow da Cisco ASA, che utilizza davvero un numero di campi nell'intervallo di 40000-40005.

C'è un documento chiamato " cisco ASAStampa di implementazione serie 5500 per collettori Netflow, 8.3 "che descrive quei campi.