Citrix ADC

Journalisation et surveillance de DS-Lite

Vous pouvez consigner les informations DS-Lite pour diagnostiquer ou résoudre les problèmes et répondre aux exigences légales. L’appliance Citrix ADC prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN décrites à la section Journalisation et surveillance LSN.

Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
  • Horodatage
  • Type d’entrée (MAPPING)
  • Indique si l’entrée de mappage DS-Lite LSN a été créée ou supprimée
  • Adresse IPv6 de B4
  • Adresse IP, port et ID de domaine de trafic de l’abonné
  • Adresse IP NAT et port
  • Nom du protocole
  • L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
    • L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
    • Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
    • L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.

Un message de journal pour une session DS-Lite contient les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
  • Horodatage
  • Type d’entrée (SESSION)
  • Indique si la session DS-Lite est créée ou supprimée
  • Adresse IPv6 de B4
  • Adresse IP, port et ID de domaine de trafic de l’abonné
  • Adresse IP NAT et port
  • Nom du protocole
  • Adresse IP de destination, port et ID de domaine de trafic

Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stocké sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance Citrix ADC dont l’adresse NSIP est 10.102.37.115.Vous pouvez consigner des informations DS-Lite pour diagnostiquer ou résoudre des problèmes et répondre aux exigences légales. L’appliance Citrix ADC prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN décrites à la section Journalisation et surveillance LSN.

Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
  • Horodatage
  • Type d’entrée (MAPPING)
  • Indique si l’entrée de mappage DS-Lite LSN a été créée ou supprimée
  • Adresse IPv6 de B4
  • Adresse IP, port et ID de domaine de trafic de l’abonné
  • Adresse IP NAT et port
  • Nom du protocole
  • L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
    • L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
    • Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
    • L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.

Un message de journal pour une session DS-Lite contient les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
  • Horodatage
  • Type d’entrée (SESSION)
  • Indique si la session DS-Lite est créée ou supprimée
  • Adresse IPv6 de B4
  • Adresse IP, port et ID de domaine de trafic de l’abonné
  • Adresse IP NAT et port
  • Nom du protocole
  • Adresse IP de destination, port et ID de domaine de trafic

Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stocké sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance Citrix ADC dont l’adresse NSIP est 10.102.37.115.

   
Type d’entrée du journal LSN Exemple d’entrée de journal
Création de session DS-Lite Local4.Informational 10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP
Suppression de session DS-Lite Local4.Informational 10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP
Création de mappage DS-Lite LSN Local4.Informational 10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP
Suppression du mappage DS-Lite LSN Local4.Informational 10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP

Affichage des sessions DS-Lite actuelles

Vous pouvez afficher les sessions DS-Lite actuelles pour détecter les sessions indésirables ou inefficaces sur l’appliance Citrix ADC. Vous pouvez afficher toutes les sessions DS-Lite ou certaines, sur la base des paramètres de sélection.

Pour afficher toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

show lsn session –nattype DS-Lite

Pour afficher les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]

L’exemple de sortie suivant affiche toutes les sessions DS-Lite existantes sur une appliance Citrix ADC :

show lsn session –nattype DS-Lite

  B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir

1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT

2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT

3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT

4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done

Configuration à l’aide de l’utilitaire de configuration

Pour afficher toutes les sessions DS-Lite ou sélectionnées à l’aide de l’utilitaire de configuration

  1. Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite.
  2. Pour afficher les sessions DS-Lite sur la base des paramètres de sélection, cliquez sur Rechercher.

Effacement des sessions DS-Lite

Vous pouvez supprimer toutes les sessions DS-Lite indésirables ou inefficaces de l’appliance Citrix ADC. L’appliance libère immédiatement les ressources (telles que l’adresse IP NAT, le port et la mémoire) allouées pour ces sessions, ce qui rend les ressources disponibles pour les nouvelles sessions. L’appliance supprime également tous les paquets suivants liés à ces sessions supprimées. Vous pouvez supprimer toutes les sessions DS-Lite ou sélectionnées de l’appliance Citrix ADC.

Pour effacer toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

flush lsn session –nattype DS-Lite

show lsn session –nattype DS-Lite

Pour effacer les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype DS-Lite

Pour effacer toutes les sessions DS-Lite ou sélectionnées à l’aide de l’utilitaire de configuration

  1. Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite.
  2. Cliquez sur Vider les sessions.

Journalisation des informations d’en-tête HTTP

L’appliance Citrix ADC peut consigner les informations d’en-tête de requête d’une connexion HTTP qui utilise la fonctionnalité DS-Lite. Les informations d’en-tête suivantes d’un paquet de requête HTTP peuvent être enregistrées :

  • URL à laquelle la requête HTTP est destinée
  • Méthode HTTP spécifiée dans la requête HTTP
  • Version HTTP utilisée dans la requête HTTP
  • Adresse IPv4 de l’abonné qui a envoyé la requête HTTP

Les journaux d’en-tête HTTP peuvent être utilisés par les FAI pour voir les tendances liées au protocole HTTP parmi un ensemble d’abonnés. Par exemple, un FAI peut utiliser cette fonctionnalité pour trouver le site Web le plus populaire parmi un ensemble d’abonnés.

Étapes de configuration

Effectuez les tâches suivantes pour configurer l’appliance Citrix ADC pour consigner les informations d’en-tête HTTP :

  • Créez un profil de journal d’en-tête HTTP. Un profil de journal d’en-tête HTTP est un ensemble d’attributs d’en-tête HTTP (par exemple, URL et méthode HTTP) qui peuvent être activés ou désactivés pour la journalisation.
  • Liez l’en-tête HTTP à un groupe LSN d’une configuration LSN DS-Lite. Liez le profil du journal des en-têtes HTTP à un groupe LSN d’une configuration LSN en définissant le paramètre nom du profil du journal des en-têtes HTTP sur le nom du profil du journal des en-têtes HTTP créé. L’appliance Citrix ADC consigne ensuite les informations d’en-tête HTTP de toutes les requêtes HTTP liées au groupe LSN. Un profil de journal d’en-tête HTTP peut être lié à plusieurs groupes LSN, mais un groupe LSN ne peut avoir qu’un seul profil de journal d’en-tête HTTP.

Pour créer un profil de journal d’en-tête HTTP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

Pour lier un profil de journal d’en-tête HTTP à un groupe LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

Exemple de configuration

Dans la configuration LSN DS-Lite suivante, le profil de journal d’en-tête HTTP HTTP-header-log-1 est lié au groupe LSN LSN-DSLITE-GROUP-1. Le profil de journal a tous les attributs HTTP (URL, méthode HTTP, version HTTP et adresse IP HOST) activés pour la journalisation, de sorte que tous ces attributs sont enregistrés pour toutes les requêtes HTTP des périphériques B4 (dans le réseau 2001:DB8:5001::/96).

Exemple de configuration :

add lsn httphdrlogprofile HTTP-HEADER-LOG-1

Done

add lsn client LSN-DSLITE-CLIENT-1

Done

bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100

Done

add lsn pool LSN-DSLITE-POOL-1

Done

bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70

Done

add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6

Done

add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1

Done

bind lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1

Done

bind lsn group LSN-DSLITE-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1

Done

Journalisation IPFIX

L’appliance Citrix ADC prend en charge l’envoi d’informations sur les événements LSN au format IPFIX (Internet Protocol Flow Information Export) vers l’ensemble configuré de collecteurs IPFIX. L’appliance utilise la fonctionnalité AppFlow existante pour envoyer des événements LSN au format IPFIX aux collecteurs IPFIX.

La journalisation basée sur IPFIX est disponible pour les événements DS_Lite suivants :

  • Création ou suppression d’une session LSN.
  • Création ou suppression d’une entrée de mappage LSN.
  • Allocation ou désallocation de blocs de ports dans le contexte d’un NAT déterministe.
  • Allocation ou désallocation de blocs de ports dans le contexte de NAT dynamique.
  • Chaque fois que le quota de session d’abonné est dépassé.

Points à considérer avant de configurer la journalisation IPFIX

Avant de commencer à configurer IPSec ALG, tenez compte des points suivants :

Étapes de configuration

Effectuez les tâches suivantes pour consigner les informations LSN au format IPFIX :

  • Activez la journalisation LSN dans la configuration AppFlow. Activez le paramètre de journalisation LSN dans le cadre de la configuration AppFlow.
  • Créez un profil de journal LSN. Un profil de journal LSN inclut le paramètre IPFIX qui active ou désactive les informations de journal au format IPFIX.
  • Liez le profil de journal LSN à un groupe LSN d’une configuration LSN. Liez le profil de journal LSN à un ou plusieurs groupes LSN. Les événements liés au groupe LSN lié seront enregistrés au format IPFIX.

Pour activer la journalisation LSN dans la configuration AppFlow à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set appflow param -lsnLogging (ENABLED |DISABLED )

show appflow param

Pour créer un profil de journal LSN à l’aide de l’interface de ligne de commande, tapez

À l’invite de commandes, tapez :

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Pour créer un profil de journal LSN à l’aide de l’interface graphique

Accédez à Système > NAT à grande échelle > Profils, cliquez sur onglet Journal, puis ajoutez un profil de journal.

Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface graphique

  1. Accédez à Système > NAT à grande échelle > Groupe LSN, ouvrez le groupe LSN.
  2. Dans Paramètres avancés, cliquez sur + Profil de journal pour lier le profil de journal créé au groupe LSN.

Journalisation et surveillance de DS-Lite