NetFlow V9의 잘못된 필드 ID.

Question

NetFlow V9를 분석하는 동안 대부분의 필드 ID를 에 정의 된 것과 같이 올바르게 얻을 수 있습니다.

http://www.iana.org/assignments/ipfix/ipfix.xml <./ a>

그러나 나는 40000, 40001, 40002, ... 224, 225, 226 대신 ... NAT 신청을 위해, 그러나 검색된 각 필드의 값이 올바른 것입니다.

모든 필드의 ID와 값이 올바르게 얻은 것이 확실합니다. 진짜 문제가 무엇인지 모르겠습니다.나는 호스트를 네트워크 바이트로 변환하고 그 반대의 경우 를 사용하여 시도했습니다.

field_type = socket.ntohs(struct.unpack('H', template_data[a:b])[0])

.

p.s.나는 NetFlow v9를 위해 시스코 라우터를 사용했습니다.

Answer 1

Cisco는 IPFIX를 사용하지 않지만 NetFlow V9를 사용하지 않습니다.IPFIX는 Cisco의 NetFlow V9 사양에서 파생되었지만 몇 가지 차이점이 있습니다.그 중 하나는 IPFIX가 FreathEnterPrisEnumber를 사용하여 필드 유형 번호의 공급 업체 네임 스페이스를 허용한다는 것입니다.NetFlow v9에는 이러한 시설이 없으므로 공급 업체는 사용자 정의 필드를보고 할 수있는 범위를 임의로 선택하고 다른 사람이 같은 범위를 선택하지 않기를 바랍니다.이 경우 Cisco ASA에서 NetFlow 티켓을 가져 오는 것을 추측하고 실제로 40000-40005의 범위에서 여러 필드를 사용합니다

' Cisco ASA라는 문서가 있습니다.5500 시리즈 시리즈 해당 필드를 설명하는 NetFlow Collectors, 8.3 '