Citrix ADC

Aufzeichnen einer Paketverfolgung auf Citrix ADC

In diesem Artikel zur Problembehandlung wird erläutert, wie ein Administrator eine Netzwerkpaketverfolgung mit der Citrix ADC GUI aufzeichnen kann.

Wichtige Punkte

  • Citrix empfiehlt, die aktuelle Wireshark-Version aus dem Abschnitt “automatisierte Erstellung” zu verwenden, der auf der folgenden Webseite verfügbar ist: http://www.wireshark.org/download/automated

  • Wenn Sie in Citrix ADC Version 10.5 oder höher die Erfassung entschlüsseln und ECC (Elliptic Curve Cryptography) sicherstellen möchten, werden die Parameter Sitzungswiederverwendung und DH vom virtuellen Server deaktiviert, bevor die Ablaufverfolgung erfasst wird.

Aufzeichnen der Paketablaufverfolgung auf NetScaler Version 11.1

  1. Navigieren Sie zu System > Diagnose Seite.
  2. Klicken Sie auf der Diagnoseseite auf den Link Neue Ablaufverfolgung starten, wie im folgenden Screenshot gezeigt.

    Diagnoseseite aufrufen

  3. Aktualisieren Sie die Paketgröße im Feld Paketgröße auf 0.

    Paketgröße

  4. Klicken Sie auf Start, um mit der Aufzeichnung der Netzwerkpaketverfolgung zu beginnen.
  5. Klicken Sie auf Beenden und Herunterladen, um die Aufzeichnung der Netzwerkpaketverfolgung nach Abschluss des Tests zu beenden.

    Stoppen und Download-Ablaufverfolgung

  6. Wählen Sie die gewünschte Datei aus, klicken Sie auf Auswählen und klicken Sie auf Herunterladen .

    Paketverfolgung herunterladen

  7. Öffnen Sie die Netzwerkpaketverfolgungsdatei mit dem Dienstprogramm Wireshark, um den Inhalt der Datei anzuzeigen.

Aufzeichnen der Paketverfolgung auf der NetScaler 10.5-Appliance

  1. Navigieren Sie zu System > Diagnose Seite.

    Seite "Diagnose" aufrufen

  2. Klicken Sie auf den Link Neue Ablaufverfolgung starten unter Technical Support Tools, wie im folgenden Screenshot gezeigt.
  3. Aktualisieren Sie die Paketgröße im Feld Paketgröße auf 0.

    Paketgröße

    Hinweis: Wenn Appliance-Header nicht erforderlich sind, wählen Sie Ablaufverfolgung im PCAP-Format erfassen.

  4. Klicken Sie auf Start, um mit der Aufzeichnung der Netzwerkpaketverfolgung zu beginnen.
  5. Klicken Sie auf OK, um die Aufzeichnung der Netzwerkpaketverfolgung nach Abschluss des Tests zu beenden.

    Trace-Aufzeichnung stoppen

    Es wird eine nstrace.cap-Datei generiert, die die Netzwerkpaketverfolgung enthält.

  6. Markieren Sie die gewünschte Datei und klicken Sie auf Herunterladen.

    Laden Sie die Datei herunter

  7. Geben Sie ein Ziel an, und speichern Sie die Paketverfolgung.
  8. Öffnen Sie die Netzwerkpaketverfolgungsdatei mit dem Dienstprogramm Wireshark, um den Inhalt der Datei anzuzeigen.

    Hinweis: Wählen Sie Entschlüsselte SSL-Pakete (SSLPLAIN), um die Paketverfolgung ohne den privaten Schlüssel zu entschlüsseln.

    Entschlüsselte SSL-Pakete

Erfassen von SSL-Masterschlüsseln

In der Version 11.0, 11.1 und höher gibt es eine Option, die Sitzungsschlüssel zu erfassen, die nur für diese bestimmte Sitzung/nstrace gültig sind. Diese Option kann verwendet werden, wenn Sie den privaten Schlüssel nicht teilen oder den SSLPLAIN-Modus verwenden möchten. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX135889.

Sitzungsschlüssel ohne Freigabe des privaten Schlüssels exportieren

In den meisten Szenarien ist der private Schlüssel nicht verfügbar oder freigegeben. In solchen Szenarien können wir vorschlagen, die SSL-Sitzungsschlüssel anstelle des privaten Schlüssels zu exportieren. Read, [Exportieren und Verwenden von SSL-Sitzungsschlüsseln zum Entschlüsseln von SSL Traces ohne Freigabe des privaten SSL-Schlüssels finden Sie unterhttps://support.citrix.com/article/CTX135889.

Filter

Es wird auch immer empfohlen, IP-basierte Filter hinzuzufügen, während Spuren zu nehmen. Der Prozess stellt sicher, dass Sie nur interessierten Traffic erfassen, was die Fehlerbehebung erleichtert. Durch das Hinzufügen von Filtern wird auch die Belastung der Appliance verringert, während Spuren abgenommen werden.

Filterabschnitt

Einfache IP-basierte Filter reichen aus, um die richtigen Aufnahmen zu erhalten. Eine detaillierte Liste der Filter und Beispiele finden Sie unter Citrix Documentation - ns trace.

Anwendungsfall zum Erfassen einer Paketablaufverfolgung mit dem IP-Filter des virtuellen Servers (Front-End und Back-End)

Verwenden Sie einen Filter der IP-Adresse des virtuellen Servers und aktivieren Sie die Option “—link” in CLI oder wählen Sie die Option “Trace filtered connection peer traffic” in GUI (verfügbar 10.1 und höher), können Sie sowohl den Front-End- als auch den Back-End-Datenverkehr für diese bestimmte IP-Adresse erfassen. Bei dieser Option ist es nicht empfehlenswert, einen Quell-IP- oder Ziel-IP-Filter zu erwähnen.

start nstrace -size 0 -filter "CONNECTION.IP.EQ(1.1.1.1)" -link ENABLED

show nstrace
        State:  RUNNING          Scope:  LOCAL            TraceLocation:  "/var/nstrace/24Mar2017_16_00_19/..." Nf:  24                  Time:  3600              Size:  0                 Mode:  TXB NEW_RX
        Traceformat:  NSCAP      PerNIC:  DISABLED        FileName:  24Mar2017_16_00_19 Filter:  "CONNECTION.IP.EQ(1.1.1.1)" Link:  ENABLED           Merge:  ONSTOP           Doruntimecleanup:  ENABLED
        TraceBuffers:  5000      SkipRPC:  DISABLED       Capsslkeys:  DISABLED    InMemoryTrace:  DISABLED

Verschmelzen

zyklische Spuren erfassen

Es ist immer schwierig, ein zeitweiliges Problem zu beheben. Zyklische Tracing eignet sich am besten für Probleme, die intermittierend sind. Die Spuren können über einen Zeitraum von einigen Stunden oder Tagen vor dem Auftreten des Problems ausgeführt werden. Außerdem können Sie einen bestimmten Filter verwenden und die Größe der Ablaufverfolgungsdateien auswerten, die generiert werden, bevor Sie es für eine längere Zeit ausführen.

Führen Sie den folgenden Befehl von der CLI aus:

start nstrace -nf 60 -time 30 -size 0
This particular trace will create 60 files each of them for 30 sec. This means the files will start getting overwritten after 60 trace files or 30 mins
Show nstrace à To check the status of the nstrace
Stop nstrace à To stop the nstrace.

Bewährte Methoden

Bei einer Einheit, die GB Datenverkehr pro Sekunde verarbeitet, ist die Erfassung des Datenverkehrs ein sehr ressourcenintensiver Prozess. Die Auswirkungen auf die Ressourcen sind hauptsächlich in Bezug auf die CPU und den Festplattenspeicher. Die Auswirkungen auf den Speicherplatz können durch die Verwendung von Filterausdrücken reduziert werden. Die Auswirkungen auf die CPU bleiben jedoch bestehen und führen manchmal zu einem leichten Anstieg, da die Appliance jetzt Pakete gemäß dem Filter verarbeiten muss, bevor sie erfasst werden.

Die bewährte Vorgehensweise im Hinblick auf die Verfolgung ist:

  1. Die Dauer, für die die Ablaufverfolgung ausgeführt wird, muss so begrenzt wie möglich sein, wenn Sie sicherstellen, dass die Pakete von Interesse erfasst werden.
  2. Planen Sie die Ablaufverfolgungsaktivität zu einem Zeitpunkt, zu dem die Anzahl der Benutzer (und damit der Datenverkehr) stark reduziert wird, z. B. während der Auszeit.

Weitere Ressourcen

Deaktivieren der Wiederverwendung von Sitzungen auf dem virtuellen Server über die GUI

Die Wiederverwendung von Sitzungen ist deaktiviert, wenn Sie eine Ablaufverfolgung erfassen, um einen SSL-Handshake in der Ablaufverfolgung abzuschließen. Wenn es aktiviert ist, können Sie einen teilweisen Handshake in der Ablaufverfolgung erfassen. Stellen Sie sicher, dass Sie die Option nach der Trace-Auflistung aktivieren. Deaktivieren Sie die Wiederverwendung einer SSL-Sitzung nicht, wenn die Persistenzmethode sslsession ist, da die Persistenz für vorhandene Verbindungen unterbrochen wird. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX121925.

  1. Öffnen Sie den virtuellen Server und navigieren Sie zu SSL-Parametern.
  2. Deaktivieren Sie die Sitzungswiederverwendung aktivieren, wenn aktiviert.

    Sitzungswiederverwendung aktivieren

Deaktivieren der Wiederverwendung von Sitzungen auf dem virtuellen Server über die CLI

  1. SSH an die Appliance-Konsole.
  2. Führen Sie den folgenden Befehl aus, um DH Param vom virtuellen Server zu deaktivieren:

    set ssl vserver "vServer_Name" -sessReuse DISABLED

Deaktivieren Sie den DH-Parameter auf dem virtuellen Server über die GUI

Weitere Informationen findenhttps://support.citrix.com/article/CTX213335 Sie unter Informationen zu DH-Parameter.

  1. Öffnen Sie den virtuellen Server und navigieren Sie zu SSL-Parametern.
  2. Deaktivieren Sie DH Param, wenn aktiviert.

    SSL-Parameter

Deaktivieren Sie den DH-Parameter auf dem virtuellen Server über die CLI

  1. SSH an die Appliance-Konsole.
  2. Führen Sie den folgenden Befehl aus, um DH Param vom virtuellen Server zu deaktivieren:

    set ssl vserver "vServer_Name" -dh DISABLED

Deaktivieren der ECC-Kurve auf dem virtuellen Server über die GUI

ECC-Kurve ist deaktiviert, um den erfassten SSL-Trace mit einem privaten Schlüssel zu entschlüsseln. Sie dürfen die Schlüssel nicht deaktivieren, wenn die zugehörigen SSL-Verschlüsselungen verwendet werden. Weitere Informationen zur ECC-Kurve finden Sie unterhttps://support.citrix.com/article/CTX205289

  1. Öffnen Sie den virtuellen Server und navigieren Sie zu ECC Curve.

    ECC-Kurve

  2. Wenn keine ECC-Kurve an den virtuellen Server gebunden ist, ist keine andere Aktion erforderlich.

    Keine CC-Kurve

  3. Wenn eine ECC-Kurve an den virtuellen Server gebunden ist, klicken Sie auf die ECC-Kurve und entbinden Sie sie vom virtuellen Server.

Deaktivieren der ECC-Kurve auf dem virtuellen Server über die CLI

  1. SSH an die Appliance-Konsole.
  2. Führen Sie den folgenden Befehl für jede ECC-Kurve aus, die an den virtuellen Server gebunden ist:

    unbind ssl vserver "vServer_Name" -eccCurveName "ECC_Curve_Name"