Registro y supervisión de NAT64 a gran escala

Puede registrar información NAT64 a gran escala para diagnosticar y solucionar problemas y cumplir los requisitos legales. Puede supervisar el rendimiento de la implementación NAT64 a gran escala mediante contadores estadísticos y mostrando las sesiones actuales relacionadas.

Registro de gran escala NAT64

El registro de información NAT64 a gran escala es necesario para que los ISP cumplan los requisitos legales e identifiquen el origen del tráfico en un momento dado.

Un mensaje de registro para una entrada de asignación NAT64 a gran escala consta de la siguiente información:

  • Dirección IP propiedad de Citrix ADC (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro.
  • Marca de tiempo.
  • Tipo de entrada (MAPPING).
  • Si se ha creado o eliminado la entrada de asignación.
  • Dirección IP, puerto e ID de dominio de tráfico del suscriptor.
  • Dirección IP NAT y puerto.
  • Nombre del protocolo.
  • La dirección IP de destino, el puerto y el ID de dominio de tráfico pueden estar presentes, dependiendo de las condiciones siguientes:
    • La dirección IP de destino y el puerto no se registran para la asignación independiente del punto final.
    • Solo se registra la dirección IP de destino para la asignación dependiente de la dirección. El puerto no está registrado.
    • La dirección IP de destino y el puerto se registran para la asignación dependiente del puerto de dirección.

Un mensaje de registro para una sesión NAT64 a gran escala consta de la siguiente información:

  • Dirección IP propiedad de Citrix ADC (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro
  • Marca de tiempo
  • Tipo de entrada (SESSION)
  • Si se crea o elimina la sesión
  • Dirección IP, puerto e ID de dominio de tráfico del suscriptor
  • Dirección IP NAT y puerto
  • Nombre del protocolo
  • Dirección IP de destino, puerto e ID de dominio de tráfico

La tabla siguiente muestra entradas de registro NAT64 a gran escala de ejemplo de cada tipo almacenadas en los servidores de registro configurados. Las entradas de registro muestran que un suscriptor cuya dirección IPv6 es 2001:db8:5001: :9 estaba conectado al destino IP: Puerto 23.0.0.1:80 a través de NAT IP: Puerto 203.0.113.63:45195 el 7 de abril de 2016, de 14:07:57 GMT a 14:10:59 GMT.

Tipo de entrada de registro Entrada de registro de ejemplo
Creación de sesiones 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Creación de mapas 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
Eliminación de sesión 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Eliminación de asignación 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

Pasos de configuración

Puede configurar el registro de información NAT64 a gran escala para una configuración NAT64 a gran escala estableciendo los parámetros de registro y registro de sesión de los grupos LSN. Estos son parámetros de nivel de grupo y están inhabilitados de forma predeterminada. El dispositivo Citrix ADC registra sesiones NAT64 a gran escala para un grupo LSN solo cuando los parámetros de registro y registro de sesión están habilitados.

En la siguiente tabla se muestra el comportamiento de registro de un grupo LSN para varias configuraciones de parámetros de registro y registro de sesión.

Registros Registro de sesiones Comportamiento de registro
Habilitado Habilitado Registra las entradas de asignación de LSN así como las sesiones LSN
Habilitado Inhabilitada Registra las entradas de asignación de LSN pero no las sesiones LSN
Inhabilitada Habilitado Registra ni entradas de asignación ni sesiones LSN

Para registrar información NAT64 a gran escala mediante la CLI

Para establecer los parámetros de registro y registro de sesión al agregar un grupo LSN, en el símbolo del sistema, escriba:

add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Para establecer los parámetros de registro y registro de sesión para un grupo LSN existente, en el símbolo del sistema, escriba:

set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Configuración de ejemplo

En este ejemplo de configuración NAT64 a gran escala, los parámetros de registro y registro de sesión están habilitados para el grupo LSN LSN-NAT64-GROUP-1.

El dispositivo Citrix ADC registra información de asignación y sesión NAT64 a gran escala para conexiones de suscriptores (en la red 2001:DB 8:5001: :/96).

Configuración de ejemplo:

add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1  -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done

Registro de información MSISDN para NAT64 de gran escala

Un número de directorio integrado de suscriptor de Mobile Station (MSISDN) es un número de teléfono que identifica de forma única a un suscriptor a través de varias redes móviles. El MSISDN está asociado a un código de país y a un código de destino nacional que identifica al operador del suscriptor.

Puede configurar un dispositivo Citrix ADC para que incluya MSISSDN en entradas de registro NAT64 LSN a gran escala para suscriptores en redes móviles. La presencia de MSISDN en los registros de LSN facilita el rastreo más rápido y preciso de un suscriptor móvil que ha infringido una directiva o ley, o cuya información es requerida por agencias de interceptación legales.

Las siguientes entradas de registro LSN de ejemplo incluyen información MSISDN para una conexión de un suscriptor móvil en una configuración de LSN. Las entradas de registro muestran que un suscriptor móvil cuyo MSISDN es E164:5556543210 y dirección IPv6 es 2001:db8:5001::9 se conectó al destino IP: Puerto 23.0.0.1:80 a través de NAT IP: Puerto 203.0.113.63:45195 el 7 de abril de 2016, de 14:07:57 GMT a 14:10:59 GMT.

Tipo de entrada de registro Entrada de registro de ejemplo
Creación de sesiones 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Creación de mapas 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
Eliminación de sesión 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Eliminación de asignación 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

Pasos de configuración

Realice las siguientes tareas para incluir información de MSISDN en los registros LSN:

  • Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro ID de suscriptor de registro, que especifica si se debe incluir o no la información MSISDN en los registros de LSN de una configuración de LSN.
  • Enlace el perfil de registro LSN a un grupo LSN de una configuración LSN.Enlazar el perfil de registro LSN creado a un grupo LSN de una configuración LSN estableciendo el parámetro de nombre de perfil de registro en el nombre de perfil de registro LSN creado. La información MSISDN se incluye en todos los registros de LSN relacionados con suscriptores móviles de este grupo LSN.

Para crear un perfil de registro LSN mediante la CLI

En el símbolo del sistema, escriba:

add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )

show lsn logprofile

Para enlazar un perfil de registro LSN a un grupo LSN de una configuración de LSN NAT64 mediante la CLI

En el símbolo del sistema, escriba:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Configuración de ejemplo

En este ejemplo de configuración de NAT64 LSN, el perfil de registro de LSN LOG-PROFILE-MSISDN-1 tiene habilitado el parámetro ID de suscriptor de registro. LOG-PROFILE-MSISDN-1 está vinculado al grupo LSN LSN-NAT64-GROUP-1. La información de MSISDN se incluye en la sesión de LSN y en los registros de asignación de LSN para conexiones de suscriptores móviles (en la red 2001:DB 8:5001: :/96).

add lsn logprofile  LOG-PROFILE-MSISDN-1  -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename  LOG-PROFILE-MSISDN-1
Done

Registro compacto para NAT a gran escala

El registro de la información LSN es una de las funciones importantes que necesitan los ISP para cumplir con los requisitos legales y poder identificar el origen del tráfico en cualquier momento dado. Esto finalmente resulta en un gran volumen de datos de registro, lo que requiere que los ISP realicen grandes inversiones para mantener la infraestructura de registro.

El registro compacto es una técnica para reducir el tamaño del registro mediante el uso de un cambio notacional que implica códigos cortos para nombres de eventos y protocolos. Por ejemplo, C para cliente, SC para sesión creada y T para TCP. El registro compacto da como resultado una reducción media del 40 por ciento en el tamaño del registro.

Pasos de configuración

Realice las siguientes tareas para registrar la información de LSN en formato compacto:

  1. Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro Log Compact, que especifica si se va a registrar o no la información en formato compacto para una configuración LSN.
  2. Enlace el perfil de registro de LSN a un grupo LSN de una configuración de LSN. Vincular el perfil de registro LSN creado a un grupo LSN de una configuración LSN estableciendo el parámetro Nombre de perfil de registro en el nombre de perfil de registro LSN creado. Todas las sesiones y asignaciones de este grupo LSN se registran en formato compacto.

Para crear un perfil de registro LSN mediante la CLI

En el símbolo del sistema, escriba:

add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)

show lsn logprofile

Para enlazar un perfil de registro LSN a un grupo LSN de una configuración LSN mediante la CLI

En el símbolo del sistema, escriba:

bind lsn group <groupname> -logProfileName <lsnlogprofilename>

show lsn group

Ejemplo de configuración para NAT64:

add lsn logprofile  LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done

Registro de información de encabezado HTTP

El dispositivo Citrix ADC puede registrar la información de encabezado de solicitud de una conexión HTTP que utiliza la funcionalidad NAT64 de gran escala de Citrix ADC. Se puede registrar la siguiente información de encabezado de un paquete de solicitud HTTP:

  • URL a la que está destinada la solicitud HTTP
  • Método HTTP especificado en la solicitud HTTP
  • Versión HTTP utilizada en la solicitud HTTP
  • Dirección IPv6 del suscriptor que envió la solicitud HTTP

Los registros de encabezado HTTP pueden ser utilizados por los ISP para ver las tendencias relacionadas con el protocolo HTTP entre un conjunto de suscriptores. Por ejemplo, un ISP puede utilizar esta función para averiguar el sitio web más popular entre un conjunto de suscriptores.

Pasos de configuración

Realice las siguientes tareas para configurar el dispositivo Citrix ADC para registrar la información de encabezado HTTP:

  • Cree un perfil de registro de encabezado HTTP. Un perfil de registro de encabezado HTTP es una colección de atributos de encabezado HTTP (por ejemplo, URL y método HTTP) que se pueden habilitar o inhabilitar para el registro.
  • Enlazar el encabezado HTTP a un grupo LSN de una configuración NAT64 a gran escala. Enlace el perfil de registro de encabezado HTTP a un grupo LSN de una configuración LSN estableciendo el parámetro de nombre de perfil de registro de encabezado HTTP en el nombre del perfil de registro de encabezado HTTP creado. A continuación, el dispositivo Citrix ADC registra la información de encabezado HTTP de cualquier solicitud HTTP relacionada con el grupo LSN. Un perfil de registro de encabezado HTTP se puede enlazar a varios grupos LSN, pero un grupo LSN solo puede tener un perfil de registro de encabezado HTTP.

Para crear un perfil de registro de encabezado HTTP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

Para enlazar un perfil de registro de encabezado HTTP a un grupo LSN mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

Configuración de ejemplo

add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done

Visualización de sesiones NAT64 actuales a gran escala

Puede mostrar las sesiones NAT64 a gran escala actuales para detectar sesiones no deseadas o ineficientes en el dispositivo Citrix ADC. Puede mostrar todas o algunas sesiones NAT64 a gran escala sobre la base de parámetros de selección.

Nota

Cuando existen más de un millón de sesiones NAT64 a gran escala en el dispositivo Citrix ADC, Citrix recomienda utilizar los parámetros de selección para mostrar las sesiones NAT64 a gran escala seleccionadas en lugar de mostrarlas todas.

Para mostrar todas las sesiones NAT64 a gran escala mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

show lsn session –nattype NAT64

Para mostrar sesiones NAT64 selectivas a gran escala mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Visualización de estadísticas NAT64 a gran escala

Puede mostrar estadísticas relacionadas con el módulo NAT64 a gran escala y evaluar su rendimiento o solucionar problemas. Puede mostrar un resumen de las estadísticas de todas las configuraciones NAT64 a gran escala o de una configuración NAT64 a gran escala concreta. Los contadores estadísticos reflejan los eventos desde que se reinició por última vez el dispositivo Citrix ADC. Todos estos contadores se restablecen a 0 cuando se reinicia el dispositivo Citrix ADC.

Para mostrar estadísticas totales de NAT64 a gran escala mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

stat lsn nat64

Para mostrar estadísticas para una configuración NAT64 a gran escala especificada mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

stat lsn group <groupname>

Eliminación de sesiones NAT64 a gran escala

Puede eliminar cualquier sesión NAT64 a gran escala no deseada o ineficiente del dispositivo Citrix ADC. El dispositivo libera inmediatamente los recursos (como la dirección IP NAT, el puerto y la memoria) asignados a estas sesiones, lo que hace que los recursos estén disponibles para las sesiones nuevas. El dispositivo también elimina todos los paquetes posteriores relacionados con estas sesiones eliminadas. Puede quitar todas las sesiones NAT64 a gran escala o seleccionadas del dispositivo Citrix ADC.

Para borrar todas las sesiones NAT64 a gran escala mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

flush lsn session –nattype NAT64

show lsn session –nattype NAT64

Para borrar sesiones NAT64 selectivas a gran escala mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Configuración de ejemplo:

Borrar todas las sesiones NAT64 a gran escala existentes en un dispositivo Citrix ADC

flush lsn session  –nattype NAT64
Done

Borrar todas las sesiones NAT64 a gran escala relacionadas con la entidad cliente LSN-NAT64-CLIENT-1

flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done

Borrar todas las sesiones NAT64 a gran escala relacionadas con una red de suscriptor (2001:DB 8:5001: :/96) de la entidad de cliente LSN LSN-NAT64-CLIENT-2

flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done

Registro IPFIX

El dispositivo Citrix ADC admite el envío de información sobre eventos LSN en formato de exportación de información de flujo de protocolo Internet (IPFIX) al conjunto configurado de recopiladores IPFIX. El dispositivo utiliza la función AppFlow existente para enviar eventos LSN en formato IPFIX a los recopiladores IPFIX.

El registro basado en IPFIX está disponible para los siguientes eventos relacionados con NAT64:

  • Creación o eliminación de una sesión LSN.
  • Creación o eliminación de una entrada de asignación LSN.
  • Asignación o desasignación de bloques de puertos en el contexto de NAT determinista.
  • Asignación o desasignación de bloques de puertos en el contexto de NAT dinámico.
  • Siempre que se supere la cuota de sesión de suscriptor.

Puntos a tener en cuenta antes de configurar el registro IPFIX

Antes de comenzar a configurar IPSec ALG, tenga en cuenta los siguientes puntos:

Pasos de configuración

Realice las siguientes tareas para registrar la información LSN en formato IPFIX:

  • Habilite el registro LSN en la configuración de AppFlow. Habilite el parámetro de registro LSN como parte de la configuración de AppFlow.
  • Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro IPFIX que habilita o inhabilita la información de registro en formato IPFIX.
  • Enlace el perfil de registro de LSN a un grupo LSN de una configuración de LSN. Enlace el perfil de registro de LSN a uno o varios grupos LSN. Los eventos relacionados con el grupo LSN enlazado se registrarán en formato IPFIX.

Para habilitar el registro LSN en la configuración de AppFlow mediante la CLI

En el símbolo del sistema, escriba:

set appflow param -lsnLogging ( ENABLED | DISABLED )

show appflow param

Para crear un perfil de registro LSN mediante el comando CliAt el símbolo del sistema, escriba

En el símbolo del sistema, escriba:

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

Para enlazar el perfil de registro de LSN a un grupo LSN de una configuración de LSN mediante la CLI

En el símbolo del sistema, escriba:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Para crear un perfil de registro LSN mediante la interfaz gráfica de usuario

Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha Registro y, a continuación, agregue un perfil de registro.

Para enlazar el perfil de registro LSN a un grupo LSN de una configuración LSN mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > NAT a gran escala > Grupo LSN, abra el grupo LSN.
  2. En Configuración avanzada, haga clic en + Perfil de registropara enlazar el perfil de registro creado al grupo LSN.