ADC

Rastrear los paquetes de un clúster de NetScaler

El sistema operativo NetScaler proporciona una utilidad llamada ns trace para obtener un volcado de los paquetes que recibe y envía un dispositivo. La utilidad almacena los paquetes en archivos de seguimiento. Puede usar estos archivos para depurar problemas en el flujo de paquetes a los nodos del clúster. Los archivos de seguimiento deben verse con la aplicación Wireshark.

Algunos aspectos destacados de la utilidad ns trace son:

  • Se puede configurar para rastrear paquetes selectivamente mediante expresiones clásicas y expresiones predeterminadas.
  • Puede capturar el rastreo en varios formatos: formato de rastreo ns (.cap) y formato de volcado TCP (.pcap).
  • Puede agregar los archivos de seguimiento de todos los nodos del clúster en el coordinador de configuración.
  • Puede combinar varios archivos de rastreo en un solo archivo de rastreo (solo para archivos.cap).

Puede utilizar la utilidad ns trace desde la línea de comandos de NetScaler o desde el shell de NetScaler.

Para realizar un seguimiento de paquetes de un dispositivo independiente

Ejecute el comando start ns trace en el dispositivo. <date-timestamp>El comando crea archivos de rastreo en el directorio /var/nstrace/. Los nombres de los archivos de rastreo tienen el formato nstrace<id>.cap.

Puede ver el estado ejecutando el comando show ns trace. Puede detener el seguimiento de los paquetes ejecutando el comando stop ns trace.

Nota

También puede ejecutar la utilidad ns trace desde el shell de NetScaler ejecutando el archivo nstrace.sh. Sin embargo, se recomienda utilizar la utilidad ns trace a través de la interfaz de línea de comandos de NetScaler.

Para rastrear paquetes de un clúster

Puede rastrear los paquetes en todos los nodos del clúster y obtener todos los archivos de seguimiento en el coordinador de configuración.

Ejecute el comando start ns trace en la dirección IP del clúster. El comando se propaga y se ejecuta en todos los nodos del clúster. Los archivos de rastreo se almacenan en nodos de clúster individuales en el directorio /var/nstrace/.<date-timestamp> Los nombres de los archivos de rastreo tienen el formato nstrace<id>_node<id>.cap.

Puede utilizar los archivos de seguimiento de cada nodo para depurar las operaciones de nodos. Sin embargo, si desea que los archivos de rastreo de todos los nodos del clúster estén en una ubicación, debe ejecutar el comando stop ns trace en la dirección IP del clúster. Los archivos de seguimiento de todos los nodos se descargan en el coordinador de configuración del clúster en el directorio<date-timestamp> /var/nstrace/ de la siguiente manera:

Seguimiento de clústeres

Combinar varios archivos de seguimiento

Puede preparar un único archivo a partir de los archivos de rastreo (solo compatibles con. Cap (archivos) obtenidos de los nodos del clúster. Los archivos de seguimiento individuales proporcionan una vista acumulativa del seguimiento de los paquetes de clúster. Las entradas de seguimiento del archivo de seguimiento único se ordenan en función de la hora en que se recibieron los paquetes en el clúster.

Para combinar los archivos de seguimiento, en el shell de NetScaler, escriba:

> nstracemerge.sh -srcdir \<DIR\> -dstdir \<DIR\> -filename \<name\> -filesize \<num\>

Donde:

  • srcdir es el directorio desde el que se fusionan los archivos de seguimiento. Todos los archivos de rastreo de este directorio se fusionan en un solo archivo.
  • dstdir es el directorio en el que se crea el archivo de rastreo combinado.
  • Filename es el nombre del archivo de rastreo que se crea.
  • Filesize es el tamaño del archivo de seguimiento.

Ejemplos

A continuación se muestran algunos ejemplos del uso de la utilidad ns trace para filtrar paquetes.

  • Para rastrear los paquetes en las interfaces de plano anterior de tres nodos:

    Usar expresiones clásicas:

     > start nstrace -filter "INTF == 0/1/1 && INTF == 1/1/1 && INTF == 2/1/1"
    

    Usar expresiones predeterminadas:

     > start nstrace -filter "CONNECTION.INTF.EQ("0/1/1") && CONNECTION.INTF.EQ("1/1/1") && CONNECTION.INTF.EQ("2/1/1")"
    
  • Para rastrear los paquetes desde una dirección IP de origen 10.102.34.201 o desde un sistema cuyo puerto de origen es mayor que 80 y el nombre del servicio no es “s1”:

    Usar expresiones clásicas

     > start nstrace -filter \"SOURCEIP == 10.102.34.201 \|| \(SVCNAME != s1 && SOURCEPORT > 80)\"
    

    Usar expresiones predeterminadas

     > start nstrace -filter \"CONNECTION.SRCIP.EQ\(10.102.34.201) \|| \(CONNECTION.SVCNAME.NE\(\"s1\") && CONNECTION.SRCPORT.GT\(80))\"
    

Nota

Para obtener más información sobre los filtros utilizados en ns trace, consulte ns trace.

Captura de claves de sesión SSL durante un seguimiento

Al ejecutar el comando “start ns trace”, puede configurar el nuevo capsslkeys parámetro para capturar las claves maestras de SSL para todas las sesiones SSL. Si incluye este parámetro, se genera un archivo denominado nstrace.sslkeys junto con el rastreo del paquete. Este archivo se puede importar a Wireshark para descifrar el tráfico SSL en el archivo de rastreo correspondiente.

Esta funcionalidad es similar a la de los navegadores web que exportan claves de sesión que luego se pueden importar a Wireshark para descifrar el tráfico SSL.

Ventajas de usar claves de sesión SSL

Las siguientes son las ventajas de utilizar claves de sesión SSL:

  1. Genera archivos de rastreo más pequeños que no incluyen los paquetes adicionales creados por el modo de captura SSLPLAIN.
  2. Permite ver el texto plano [SP (1] del rastreo y elegir si desea compartir el archivo de claves maestras o proteger los datos confidenciales al no compartirlos.

Limitaciones del uso de claves de sesión SSL

Las siguientes son las limitaciones del uso de claves de sesión SSL:

  1. Las sesiones SSL no se pueden descifrar si no se capturan los paquetes iniciales de la sesión.
  2. Las sesiones SSL no se pueden capturar si el modo del Estándar Federal de Procesamiento de Información (FIPS) está activado.

Para capturar claves de sesión SSL mediante la interfaz de línea de comandos (CLI)

En el símbolo del sistema, escriba los comandos siguientes para habilitar o inhabilitar las claves de sesión SSL en un archivo de seguimiento y verificar la operación de seguimiento.

> start nstrace -capsslkeys ENABLED
> show nstrace
Example
> start nstrace -capsslkeys ENABLED
> show nstrace
      State:  RUNNING          Scope:  LOCAL            TraceLocation:  "/var/nstrace/04May2016_17_51_54/..."
      Nf:  24                  Time:  3600              Size:  164               Mode:  TXB NEW_RX
      Traceformat:  NSCAP      PerNIC:  DISABLED        FileName:  04May2016_17_51_54 Link:  DISABLED
      Merge:  ONSTOP           Doruntimecleanup:  ENABLED TraceBuffers:  5000      SkipRPC:  DISABLED
      SkipLocalSSH:  DISABLED  Capsslkeys:  ENABLED     InMemoryTrace:  DISABLED
 Done

Para configurar claves de sesión SSL mediante la GUI de NetScaler

  1. Vaya a Configuración > Sistema > Diagnóstico > Herramientas de soporte técnico y haga clic en Iniciar nuevo rastreo para empezar a rastrear los paquetes cifrados en un dispositivo.
  2. En la página Iniciar rastreo, active la casilla Capturar claves maestras de SSL .
  3. Haga clic en Aceptar y Listo.

Para importar las claves maestras de SSL a Wireshark

En la interfaz gráfica de usuario de Wireshark, vaya a Edición > Preferencias > Protocolos > SSL > nombre de archivo de registro (Pre) -Master-Secret y especifique los archivos de clave maestra obtenidos del dispositivo.

Rastrear los paquetes de un clúster de NetScaler