Protokollierung und Überwachung großer NAT64

Sie können umfangreiche NAT64-Informationen protokollieren, um Probleme zu diagnostizieren und zu beheben und gesetzliche Anforderungen zu erfüllen. Sie können die Leistung der großen NAT64-Bereitstellung überwachen, indem Sie statistische Leistungsindikatoren verwenden und die zugehörigen aktuellen Sitzungen anzeigen.

Protokollierung großer Maßstab NAT64

Die Protokollierung großer NAT64-Informationen ist erforderlich, damit ISPs die gesetzlichen Anforderungen erfüllen und die Quelle des Datenverkehrs jederzeit identifizieren können.

Eine Protokollmeldung für einen großen NAT64-Mapping-Eintrag besteht aus folgenden Informationen:

• Citrix ADC eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt.
• Zeitstempel
• Eintragstyp (MAPPING).
• Ob der Zuordnungseintrag erstellt oder gelöscht wurde.
• IP-Adresse, Port und Traffic-Domänen-ID des Abonnenten.
• NAT-IP-Adresse und -Port.
• Protokollname.
• Ziel-IP-Adresse, -Port und -Domänen-ID sind möglicherweise vorhanden, abhängig von den folgenden Bedingungen:
  • Ziel-IP-Adresse und -Port werden für die endpunktunabhängige Zuordnung nicht protokolliert.
  • Für die adressabhängige Zuordnung wird nur die Ziel-IP-Adresse protokolliert. Der Port wird nicht protokolliert.
  • Ziel-IP-Adresse und -Port werden für die adressen-port-abhängige Zuordnung protokolliert.

Eine Protokollmeldung für eine große NAT64-Sitzung besteht aus folgenden Informationen:

• Citrix ADC eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt
• Zeitstempel
• Eintragstyp (SESSION)
• Gibt an, ob die Sitzung erstellt oder entfernt wird
• IP-Adresse, Port und Traffic-Domänen-ID des Abonnenten
• NAT IP-Adresse und Port
• Protokollname
• Ziel-IP-Adresse, -Port und -Domänen-ID des Datenverkehrs

In der folgenden Tabelle werden Beispieleinträge für große NAT64-Protokolle jedes Typs aufgeführt, der auf den konfigurierten Protokollservern gespeichert ist. Die Protokolleinträge zeigen, dass ein Abonnent, dessen IPv6-Adresse 2001:db 8:5001::9 mit Ziel IP verbunden war: Port 23.0.0.1:80 über NAT IP:port 203.0.113.63:45195 am 7. April 2016 von 14:07:57 GMT bis 14:10:59 GMT.

Konfigurationsschritte

Sie können die Protokollierung großer NAT64-Informationen für eine große NAT64-Konfiguration konfigurieren, indem Sie die Protokollierungs- und Sitzungsprotokollierungsparameter der LSN-Gruppen festlegen. Dies sind Parameter auf Gruppenebene und sind standardmäßig deaktiviert. Die Citrix ADC Appliance protokolliert große NAT64-Sitzungen für eine LSN-Gruppe nur, wenn Protokollierungs- und Sitzungsprotokollierungsparameter aktiviert sind.

In der folgenden Tabelle wird das Protokollierungsverhalten für eine LSN-Gruppe für verschiedene Einstellungen von Protokollierungs- und Sitzungsprotokollierungsparametern angezeigt.

So protokollieren Sie umfangreiche NAT64-Informationen mit der CLI

Um die Protokollierungs- und Sitzungsprotokollierungsparameter beim Hinzufügen einer LSN-Gruppe festzulegen, geben Sie an der Eingabeaufforderung Folgendes ein:

add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Um die Protokollierungs- und Sitzungsprotokollierungsparameter für eine vorhandene LSN-Gruppe festzulegen, geben Sie an der Eingabeaufforderung Folgendes ein:

set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Beispielkonfiguration

In diesem Beispiel der großformatigen NAT64-Konfiguration sind Protokollierungs- und Sitzungsprotokollierungsparamter für LSN-Gruppe LSN-NAT64-GROUP-1 aktiviert.

Die Citrix ADC Appliance protokolliert umfangreiche NAT64-Sitzungs- und Zuordnungsinformationen für Verbindungen von Abonnenten (im Netzwerk 2001:DB 8:5001: :/96).

Beispielkonfiguration:

add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1  -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done

Protokollieren von MSISDN-Informationen für Large Scale NAT64

Eine Mobile Station Integrated Subscriber Directory Number (MSISDN) ist eine Telefonnummer, die einen Teilnehmer in mehreren Mobilfunknetzen eindeutig identifiziert. Der MSISDN ist mit einem Ländercode und einem nationalen Bestimmungscode verknüpft, der den Betreiber des Teilnehmers identifiziert.

Sie können eine Citrix ADC Appliance so konfigurieren, dass sie MSISDNs in großen NAT64-LSN-Protokolleinträgen für Abonnenten in Mobilfunknetzen einschließt. Das Vorhandensein von MSISDNs in den LSN-Protokollen erleichtert eine schnellere und genaue Rückverfolgung eines mobilen Teilnehmers, der gegen eine Richtlinie oder ein Gesetz verstoßen hat oder dessen Informationen von gesetzlichen Abfangbehörden verlangt werden.

Die folgenden LSN-Beispielprotokolleinträge enthalten MSISDN-Informationen für eine Verbindung von einem mobilen Abonnenten in einer LSN-Konfiguration. Die Protokolleinträge zeigen, dass ein mobiler Abonnent, dessen MSISDN E164:5556543210 ist und IPv6-Adresse 2001:db8:5001::9 mit Ziel IP verbunden war: Port 23.0.0.1:80 über die NAT IP: Port 203.0.113.63:45195am 7. April 2016 von 14:07:57 GMT bis 14:10:59 GMT.

Konfigurationsschritte

Führen Sie die folgenden Aufgaben aus, um MSISDN-Informationen in LSN-Protokolle einzuschließen:

• Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den Protokollabonnentenidentifikationsparameter, der angibt, ob die MSISDN-Informationen in die LSN-Protokolle einer LSN-Konfiguration aufgenommen werden sollen.
• Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration.Binden Sie das erstellte LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den Parameter Protokollprofilname auf den erstellten LSN-Protokollprofilnamen festlegen. MSISDN-Informationen sind in allen LSN-Protokollen enthalten, die mit mobilen Abonnenten dieser LSN-Gruppe zusammenhängen.

So erstellen Sie ein LSN-Protokollprofil mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )

show lsn logprofile

So binden Sie ein LSN-Protokollprofil an eine LSN-Gruppe einer NAT64-LSN-Konfiguration mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Beispielkonfiguration

In diesem Beispiel der NAT64-LSN-Konfiguration hat das LSN-Protokollprofil LOG-PROFILE-MSISDN-1 den Protokollabonnentenidentifikationsparameter aktiviert. LOG-PROFILE-MSISDN-1 ist an die LSN-Gruppe LSN-NAT64-GROUP-1 gebunden. MSISDN-Informationen sind in den LSN-Sitzungs- und LSN-Mapping-Protokollen für Verbindungen von mobilen Abonnenten enthalten (im Netzwerk 2001:DB 8:5001::/96).

add lsn logprofile  LOG-PROFILE-MSISDN-1  -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename  LOG-PROFILE-MSISDN-1
Done

Kompakte Protokollierung für große NAT

Die Protokollierung von LSN-Informationen ist eine der wichtigen Funktionen, die von ISPs benötigt werden, um gesetzliche Anforderungen zu erfüllen und jederzeit die Quelle des Datenverkehrs zu identifizieren. Dies führt schließlich zu einer riesigen Menge an Protokolldaten, die die ISPs erfordern, große Investitionen für die Wartung der Protokollierungsinfrastruktur zu tätigen.

Kompakte Protokollierung ist eine Technik, um die Protokollgröße zu reduzieren, indem eine Notationsänderung mit kurzen Codes für Ereignis- und Protokollnamen verwendet wird. Beispielsweise C für Client, SC für erstellte Sitzung und T für TCP. Kompakte Protokollierung führt zu einer durchschnittlichen Verringerung der Protokollgröße um 40 Prozent.

Konfigurationsschritte

Führen Sie die folgenden Aufgaben für die Protokollierung von LSN-Informationen im kompakten Format aus:

1. Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den Parameter Log Compact, der angibt, ob Informationen im kompakten Format für eine LSN-Konfiguration protokolliert werden sollen.
2. Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das erstellte LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den Parameter Log Profile Name auf den erstellten LSN-Protokollprofilnamen festlegen. Alle Sitzungen und Zuordnungen für diese LSN-Gruppe werden im kompakten Format protokolliert.

So erstellen Sie ein LSN-Protokollprofil mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)

show lsn logprofile

So binden Sie ein LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lsn group <groupname> -logProfileName <lsnlogprofilename>

show lsn group

Beispielkonfiguration für NAT64:

add lsn logprofile  LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done

Protokollieren von HTTP-Header-Informationen

Die Citrix ADC-Appliance kann Anforderungsheader-Informationen einer HTTP-Verbindung protokollieren, die die großformatige NAT64-Funktionalität von Citrix ADC verwendet. Die folgenden Header-Informationen eines HTTP-Anforderungspakets können protokolliert werden:

• URL, für die die HTTP-Anforderung bestimmt ist
• HTTP-Methode, die in der HTTP-Anforderung angegeben ist
• HTTP-Version, die in der HTTP-Anforderung verwendet wird
• IPv6-Adresse des Abonnenten, der die HTTP-Anforderung gesendet hat

Die HTTP-Header-Protokolle können von ISPs verwendet werden, um die Trends im Zusammenhang mit dem HTTP-Protokoll unter einer Gruppe von Abonnenten zu sehen. Beispielsweise kann ein ISP diese Funktion verwenden, um die beliebteste Website unter einer Reihe von Abonnenten herauszufinden.

Konfigurationsschritte

Führen Sie die folgenden Aufgaben aus, um die Citrix ADC Appliance zum Protokollieren von HTTP-Header-Informationen zu konfigurieren:

• Erstellen Sie ein HTTP-Header-Log-Profil. Ein HTTP-Header-Protokollprofil ist eine Sammlung von HTTP-Header-Attributen (z. B. URL und HTTP-Methode), die für die Protokollierung aktiviert oder deaktiviert werden können.
• Binden Sie den HTTP-Header an eine LSN-Gruppe einer großen NAT64-Konfiguration. Binden Sie das HTTP-Header-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den HTTP-Header-Logprofilnamenparameter auf den Namen des erstellten HTTP-Header-Protokollprofils festlegen. Die Citrix ADC Appliance protokolliert dann HTTP-Header-Informationen aller HTTP-Anforderungen in Bezug auf die LSN-Gruppe. Ein HTTP-Header-Protokollprofil kann an mehrere LSN-Gruppen gebunden werden, aber eine LSN-Gruppe kann nur ein HTTP-Header-Protokollprofil haben.

So erstellen Sie ein HTTP-Header-Protokollprofil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

So binden Sie ein HTTP-Header-Protokollprofil mit der Befehlszeilenschnittstelle an eine LSN-Gruppe

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

Beispielkonfiguration

add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done

Aktuelle großformatige NAT64-Sitzungen anzeigen

Sie können die aktuellen großformatigen NAT64-Sitzungen anzeigen, um unerwünschte oder ineffiziente Sitzungen auf der Citrix ADC Appliance zu erkennen. Sie können alle oder einige große NAT64-Sitzungen anhand von Selektionsparametern anzeigen.

Hinweis:

Wenn mehr als eine Million groß angelegte NAT64-Sitzungen auf der Citrix ADC Appliance vorhanden sind, empfiehlt Citrix, die Auswahlparameter zur Anzeige ausgewählter großformatiger NAT64-Sitzungen zu verwenden, anstatt sie alle anzuzeigen.

So zeigen Sie alle großformatigen NAT64-Sitzungen mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein:

show lsn session –nattype NAT64

So zeigen Sie selektive großformatige NAT64-Sitzungen mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein:

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Anzeige der NAT64-Statistiken im großen Maßstab

Sie können Statistiken im Zusammenhang mit dem großen NAT64-Modul anzeigen und deren Leistung bewerten oder Probleme beheben. Sie können eine Zusammenfassung der Statistiken aller großen NAT64-Konfigurationen oder einer bestimmten großen NAT64-Konfiguration anzeigen. Die statistischen Leistungsindikatoren spiegeln Ereignisse seit dem letzten Neustart der Citrix ADC Appliance wider. Alle diese Leistungsindikatoren werden auf 0 zurückgesetzt, wenn die Citrix ADC Appliance neu gestartet wird.

So zeigen Sie die Gesamtstatistiken der großen NAT64 mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein:

stat lsn nat64

So zeigen Sie Statistiken für eine bestimmte große NAT64-Konfiguration mit der Befehlszeilenschnittstelle an

Geben Sie an der Eingabeaufforderung Folgendes ein:

stat lsn group <groupname>

Löschen großer NAT64-Sitzungen

Sie können unerwünschte oder ineffiziente große NAT64-Sitzungen von der Citrix ADC Appliance entfernen. Die Appliance gibt sofort Ressourcen (wie NAT-IP-Adresse, Port und Speicher) frei, die für diese Sitzungen zugewiesen wurden, sodass die Ressourcen für neue Sitzungen verfügbar sind. Die Appliance löscht auch alle nachfolgenden Pakete, die sich auf diese entfernten Sitzungen beziehen. Sie können alle oder ausgewählte große NAT64-Sitzungen aus der Citrix ADC Appliance entfernen.

So löschen Sie alle großformatigen NAT64-Sitzungen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

flush lsn session –nattype NAT64

show lsn session –nattype NAT64

So löschen Sie selektive großformatige NAT64-Sitzungen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Beispielkonfiguration:

Löschen aller großen NAT64-Sitzungen, die auf einer Citrix ADC Appliance vorhanden sind

flush lsn session  –nattype NAT64
Done

Löschen aller großen NAT64-Sitzungen im Zusammenhang mit der Client-Entität LSN-NAT64-CLIENT-1

flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done

Löschen aller großen NAT64-Sitzungen im Zusammenhang mit einem Teilnehmernetzwerk (2001:DB 8:5001: :/96) der LSN-Client-Entität LSN-NAT64-CLIENT-2

flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done

IPFIX-Protokollierung

Die Citrix ADC Appliance unterstützt das Senden von Informationen zu LSN-Ereignissen im IPFIX-Format (Internet Protocol Flow Information Export) an die konfigurierte Gruppe von IPFIX-Kollektoren. Die Appliance verwendet die vorhandene AppFlow Funktion, um LSN-Ereignisse im IPFIX-Format an die IPFIX-Kollektoren zu senden.

IPFIX-basierte Protokollierung ist für die folgenden NAT64-bezogenen Ereignisse verfügbar:

• Erstellen oder Löschen einer LSN-Sitzung.
• Erstellen oder Löschen eines LSN-Zuordnungseintrags.
• Zuweisung oder Aufteilung von Portblöcken im Rahmen der deterministischen NAT.
• Zuweisung oder Aufteilung von Portblöcken im Kontext dynamischer NAT.
• Wann immer das Teilnehmersitzungskontingent überschritten wird.

Zu berücksichtigende Punkte, bevor Sie IPFIX-Protokollierung konfigurieren

Bevor Sie mit der Konfiguration von IPsec ALG beginnen, sollten Sie die folgenden Punkte beachten:

• Sie müssen die AppFlow Funktion und die IPFIX-Kollektoren auf der Citrix ADC Appliance konfigurieren. Anweisungen finden Sie unter Konfigurieren der AppFlow Funktion.

Konfigurationsschritte

Führen Sie die folgenden Aufgaben für die Protokollierung von LSN-Informationen im IPFIX-Format aus:

• Aktivieren Sie die LSN-Protokollierung in der AppFlow Konfiguration. Aktivieren Sie den LSN-Protokollierungsparameter als Teil der AppFlow Konfiguration.
• Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den IPFIX-Parameter, mit dem die Protokollinformationen im IPFIX-Format aktiviert oder deaktiviert werden.
• Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das LSN-Protokollprofil an eine oder mehrere LSN-Gruppen. Ereignisse im Zusammenhang mit der gebundenen LSN-Gruppe werden im IPFIX-Format protokolliert.

So aktivieren Sie die LSN-Protokollierung in der AppFlow Konfiguration mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

set appflow param -lsnLogging ( ENABLED | DISABLED )

show appflow param

Um ein LSN-Protokollprofil mit der CLI an der Eingabeaufforderung zu erstellen, geben Sie

Geben Sie an der Eingabeaufforderung Folgendes ein:

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

So binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

So erstellen Sie ein LSN-Protokollprofil mit der GUI

Navigieren Sie zu System > Large Scale NAT > Profile, klicken Sie auf Register Protokoll, und fügen Sie dann ein Protokollprofil hinzu.

So binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der GUI

1. Navigieren Sie zu System > Large Scale NAT > LSN Group, öffnen Sie die LSN-Gruppe.
2. Klicken Sie unter Erweiterte Einstellungen auf + Protokollprofil, um das erstellte Protokollprofil an die LSN-Gruppe zu binden.