Previous 

Коды IPFIX, используемые в шаблонах

Next

В таблице приведены коды IPFIX, используемые в шаблонах при экспорте информации о потоке IP.

Таблица. Информационные коды IPFIX

Код

Наименование кода

Типоразмер

Единицы

Описание

1

octetDeltaCount

unsigned64

octets

Количество октетов с момента предыдущего отчета (если есть) во входящих пакетах для этого потока в точке наблюдения. Количество октетов включает IP-заголовок(и) и полезную нагрузку IP

2

packetDeltaCount

unsigned64

packets

Количество входящих пакетов с момента предыдущего отчета (если есть) для этого потока в точке наблюдения

4

protocolIdentifier

unsigned8

 

Идентификатор протокола

6

tcpControlBits

unsigned16

 

Наблюдаемые управляющие биты TCP для пакетов этого потока. Эта информация кодируется в виде битового поля; для каждого управляющего бита TCP в этом наборе есть бит. Бит устанавливается равным 1, если для любого наблюдаемого пакета этого потока установлен соответствующий бит управления TCP, равный 1. В противном случае бит будет очищен до 0.

 

Значения каждого бита показаны ниже в соответствии с определением битов в заголовке TCP [RFC9293][RFC3168]:

 

MSb LSb

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+

| | | N | C | E | U | A | P | R | S | F /

| Нулевой | Будущий | S | W | C | R | C | S | S / Y | I |

| (Смещение данных) | Использовать | | R | E | G | K | H | T / N | N |

+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+

 

битовый флаг

значение имя описание

------+-----+-------------------------------------

0x8000 Ноль (см. tcpHeaderLength)

0x4000 Ноль (см. tcpHeaderLength)

0x2000 Ноль (см. tcpHeaderLength)

0x1000 Ноль (см. tcpHeaderLength)

0x0800 Будущее использование

0x0400 Будущее использование

0x0200 Будущее использование

0x0100 NS ECN одноразовая сумма

Уменьшено окно перегрузки 0x0080 CWR

0x0040 ЕСЕ ECN Echo

0x0020 URG Поле срочного указателя значимо

0x0010 Поле подтверждения подтверждения значимо

Функция Push 0x0008 PSH

0x0004 СНАЧАЛА сбросьте соединение

0x0002 SYN Синхронизирует порядковые номера

0x0001 FIN Больше нет данных от отправителя

Поскольку наиболее значимые 4 бита октетов 12 и 13 (считая от нуля) заголовка TCP [RFC9293] используются для кодирования смещения данных TCP (длины заголовка), соответствующие биты в этой информации Элемент ДОЛЖЕН быть экспортирован как ноль и ДОЛЖЕН игнорироваться сборщиком. Используйте информационный элемент tcpHeaderLength для кодирования этого значения.

 

Каждый из 3 битов (0x800, 0x400 и 0x200), которые зарезервированы для будущего использования в [RFC9293], СЛЕДУЕТ экспортировать, как указано в заголовках TCP пакетов этого потока.

 

При экспорте в виде одного октета с кодировкой уменьшенного размера этот информационный элемент охватывает октет младшего порядка этого поля (т.Е. биты от 0x80 до 0x01), исключая одноразовую сумму ECN и три бита будущего использования. Сборщик, получающий этот информационный элемент с кодировкой уменьшенного размера, не должен ничего предполагать о содержимом этих четырех битов.

 

Экспортирующие процессы, экспортирующие этот информационный элемент от имени процесса учета, который не способен отслеживать какие-либо биты одноразового номера ECN или биты будущего использования, ДОЛЖНЫ использовать кодирование уменьшенного размера и экспортировать только 8 младших значащих битов этого информационного элемента.

 

Обратите внимание, что в предыдущих версиях определения этого информационного элемента указывалось, что биты CWR и ECE должны экспортироваться как нулевые, даже если они соблюдены. Поэтому сборщики не должны предполагать, что нулевое значение для этих битов в этом информационном элементе указывает, что биты никогда не устанавливались в наблюдаемом трафике, особенно если эти биты равны нулю в каждой записи потока, отправленной данным экспортером.

7

sourceTransportPort

unsigned16

 

TCP/UDP-порт отправителя

8

sourceIPv4Address

ipv4Address

 

IP-адрес отправителя

10

ingressInterface

unsigned8

 

Номер порта ФПСУ-IP, на который были приняты пакеты

11

destinationTransportPort

unsigned16

 

TCP/UDP-порт получателя

12

destinationIPv4Address

ipv4Address

 

IP-адрес получателя

14

egressInterface

unsigned8

 

Номер порта ФПСУ-IP, через который пакеты должны быть отправлены, либо 0, если это неизвестно

32

icmp_typecode

unsigned16

 

Тип/код сообщения для ICMP протокола

см. пункт «Особенности реализации ICMP протокола» , таблица «Типы ICMP-ответов ФПСУ-IP»

44

sourceIPv4Prefix

ipv4Address

 

Адрес ФПСУ-IP, если абонент-отправитель прописан за ФПСУ-IP, либо 0

45

destinationIPv4Prefix

ipv4Address

 

Адрес ФПСУ-IP, если абонент-получатель прописан через ФПСУ-IP, либо 0

89

forwardingStatus

unsigned8

 

Способ обработки пакета.

Проставляется: Dropped + код ошибки, см. таблица «Кодирование ошибок»

133

droppedPacketDeltaCount

unsigned64

packets

Количество пакетов с момента последнего отчета

135

droppedPacketTotalCount

unsigned64

packets

Общее кол-во пакетов в серии

150

flowStartSeconds

Milliseconds (64)

seconds

Время появления первого пакета в серии

151

flowEndSeconds

Milliseconds (64)

seconds

Время появления последнего пакета в серии

152

flowStartMilliseconds

dateTimeMilliseconds

milliseconds

Абсолютная временная метка первого пакета этого потока

153

flowEndMilliseconds

dateTimeMilliseconds

milliseconds

Абсолютная временная метка последнего пакета этого потока

225

postNATSourceIPv4Address

ipv4Address

 

Определение этого информационного элемента идентично определению информационного элемента 'sourceIPv4Address', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока NAT после того, как пакет прошел точку наблюдения

226

postNATDestinationIPv4Address

ipv4Address

 

Определение этого информационного элемента идентично определению информационного элемента 'destinationIPv4Address', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока NAT после того, как пакет прошел точку наблюдения

227

postNAPTSourceTransportPort

unsigned16

 

Определение этого информационного элемента идентично определению информационного элемента 'sourceTransportPort', за исключением того, что он сообщает измененное значение, вызванное функцией промежуточного блока преобразования сетевого адреса (NAPT) после того, как пакет прошел точку наблюдения

228

postNAPTDestinationTransportPort

unsigned16

 

Определение этого информационного элемента идентично определению информационного элемента 'destinationTransportPort', за исключением того, что он сообщает об измененном значении, вызванном функцией промежуточного блока преобразования сетевого адреса (NAPT) после того, как пакет прошел точку наблюдения.

231

initiatorOctets

unsigned64

octets

Общее количество байтов полезной нагрузки уровня 4 в потоке от инициатора с момента предыдущего отчета. Инициатором является устройство, которое инициировало создание сеанса, и остается неизменным в течение срока действия сеанса.

232

responderOctets

unsigned64

octets

Общее количество байтов полезной нагрузки уровня 4 в потоке от ответчика с момента предыдущего отчета. Ответчик - это устройство, которое отвечает инициатору и остается неизменным в течение срока действия сеанса.

233

firewallEvent

unsigned8

 

Код события: 3 → flow_denied

Указывает на событие брандмауэра. Допустимые значения перечислены в реестре firewallEvent:

Значение Описание

0        Ignore (invalid)

1        Flow Created

2        Flow Deleted

3        Flow Denied

4        Flow Alert

5        Flow Update

6-255        Unassigned

298

initiatorPackets

unsigned64

packets

Общее количество пакетов уровня 4 в потоке от инициатора с момента предыдущего отчета. Инициатором является устройство, которое инициировало создание сеанса, и остается неизменным в течение всего срока действия сеанса.

299

responderPackets

unsigned64

packets

Общее количество пакетов уровня 4 в потоке от ответчика с момента предыдущего отчета. Ответчик - это устройство, которое отвечает инициатору и остается неизменным в течение срока действия сеанса.

 

Таблица. Кодирование ошибок (для статуса пересылки 89)

Статус

Описание статуса

Hex код ответа

Описание ответа

№ ошибки на ФПСУ-IP

Внутреннее обозначение

Описание ошибки на ФПСУ-IP

00b

Unknown

0x00-0x3F

Unassigned

 

 

 

01b

Forwarded

0x40

Unknown

 

 

 

0x41

Fragmented

 

 

 

0x42

Not Fragmented

 

 

 

0x43

Tunneled

 

 

 

0x44-0x7F

Unassigned

 

 

 

10b

Dropped

0x81

ACL deny

7

AERR_PROHIBIT

Абонент запрещен

0x82

ACL drop

17

AERR_PROHCONNECT

Запрет МЭ

0x83

Unroutable

10

AERR_NOROUTE

Маршрут неизвестен (нет MAC-адреса)

0x84

Adjacency

 

 

 

0x85

Fragmentation and DF set

19

AERR_CANTFRAG

Требуется фрагментация

0x86

Bad header checksum

 

 

 

0x87

Bad total Length

3

AERR_SHORTPACK

Слишком короткий пакет

0x88

Bad header length

 

 

 

0x89

Bad TTL

13

AERR_TTL

Истекло время жизни

0x8A

Policer

 

 

 

0x8B

WRED

 

 

 

0x8C

RPF

 

 

 

0x8D

For us

 

 

 

0x8E

Bad output interface

 

 

 

0x8F

0x8F, Hardware

16

AERR_LAN

Сбой LAN-адаптера

Коды AMICON (свободный диапазон 0x90-0xBF):

0x91

Unknown 17

1

AERR_NOMEM

Нет памяти для обработки пакета

0x92

Unknown 18

2

AERR_BADADDR

Не верен IP адрес

0x94

Unknown 20

4

AERR_DBLADDR

Дублирование адресов ФПСУ-IP

0x95

Unknown 21

5

AERR_UNKNOWN

Отправитель не зарегистрирован на ФПСУ-IP

0x96

Unknown 22

6

AERR_REMOTEUNKNOWN

Получатель не зарегистрирован на ФПСУ-IP

0x98

Unknown 24

8

AERR_GUARDNEEDED

Абонент должен работать через ФПСУ-IP

0x99

Unknown 25

9

AERR_GUARDNOTREADY

Удаленный ФПСУ-IP не работает

0x9B

Unknown 27

11

AERR_IFACE

Запрет по интерфейсам доступа

0x9C

Unknown 28

12

AERR_MODEWORK

Запрет по режиму работы с партнером

0x9E

Unknown 30

14

AERR_BADGUARD

Ложный ФПСУ-IP

0x9F

Unknown 31

15

AERR_UNSUPREQ

Обращение с неподдерживаемым протоколом

0xA2

Unknown 34

18

AERR_LENPACK

Длина фрагмента > 65536

0xA4

Unknown 36

20

AERR_GUARDNOTNEEDED

Абонент должен работать в открытом виде, а пришел из туннеля c ФПСУ-IP

0xA5

Unknown 37

21

AERR_TCPUDP

Запрет доступа по TCP/UDP портам

0xA6

Unknown 38

22

AERR_SOURCEROUTE

Запрет доступа по SourceRoute

0xA7

Unknown 39

23

AERR_INVALIDTOTLEN

Фрагмент не кратен 8

0xA8

Unknown 40

24

AERR_INVALIDOPLIST

Неверен список опций

0xA9

Unknown 41

25

AERR_GUARDIGNORE

Нет ФПСУ-IP туннеля

0xAA

Unknown 42

26

AERR_GUARDREMERR

Ошибочный  пакет ФПСУ-IP

0xAB

Unknown 43

27

AERR_SERIALIZATION

Ошибка сериализации

0xAC

Unknown 44

28

AERR_REDIRECT

Bad REDIRECT от XXX.XXX.XXX.XXX

0xAD

Unknown 45

29

AERR_CLIBADPACK

Ошибочный пакет от клиента

0xAE

Unknown 46

30

AERR_CLINOTCONNECT

ФПСУ-IP/Клиент не соединен

0xAF

Unknown 47

31

AERR_IFACECLIENTUSER

Запрет доступа клиента к абоненту

0xB0

Unknown 48

32

AERR_IFACECLIENTCLIENT

Запрет доступа клиента к клиенту

0xB1

Unknown 49

33

AERR_VLANUNKNOWN

VLAN не прописан

0xB2

Unknown 50

34

AERR_BRIDGELONGPACK

Длинный пакет для моста

0xB3

Unknown 51

35

AERR_PROHMACADDR

Запрет работы по MAC адресу станции

11b

Consumed

0xC0

Unknown

 

 

 

0xC1

Punt Adjacency

 

 

 

0xC2

Incomplete Adjacency

 

 

 

0xC3

For us

 

 

 

0xC4-0xFF

Unassigned