Citrix ADC

Exploitation et surveillance Large Scale NAT64

Vous pouvez consigner des informations NAT64 à grande échelle pour diagnostiquer et dépanner les problèmes et répondre aux exigences légales. Vous pouvez surveiller les performances du déploiement NAT64 à grande échelle en utilisant des compteurs statistiques et en affichant les sessions en cours associées.

Journalisation à grande échelle NAT64

La consignation de l’information NAT64 à grande échelle est nécessaire pour que les FSI satisfassent aux exigences légales et identifient la source du trafic à tout moment.

Un message de journal pour une entrée de mappage NAT64 à grande échelle comprend les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal provient
  • Horodatage.
  • Type d’entrée (MAPPING).
  • Indique si l’entrée de mappage a été créée ou supprimée.
  • Adresse IP, port et ID de domaine de trafic de l’abonné.
  • Adresse IP NAT et port.
  • Nom du protocole.
  • L’adresse IP de destination, le port et l’ID de domaine de trafic peuvent être présents, selon les conditions suivantes :
    • L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
    • Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
    • L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.

Un message de journal pour une session NAT64 à grande échelle comprend les informations suivantes :

  • Adresse IP appartenant à Citrix ADC (adresse NSIP ou adresse SNIP) à partir de laquelle le message de journal est source
  • Horodatage
  • Type d’entrée (SESSION)
  • Indique si la session est créée ou supprimée
  • Adresse IP, port et ID de domaine de trafic de l’abonné
  • Adresse IP NAT et port
  • Nom du protocole
  • Adresse IP de destination, port et ID de domaine de trafic

Le tableau suivant présente des exemples d’entrées de journal NAT64 à grande échelle de chaque type stockées sur les serveurs de journaux configurés. Les entrées du journal montrent qu’un abonné dont l’adresse IPv6 est 2001:db8:5001::9 a été connecté à la destination IP:Port 23.0.0.1:80 via NAT IP:Port 203.0.113.63:45195 le 7 avril 2016, de 14:07:57 GMT à 14:10:59 GMT.

Type d’entrée du journal Exemple d’entrée de journal
Création de session 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Création de mappage 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
Suppression de session 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Suppression de mappage 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

Étapes de configuration

Vous pouvez configurer la journalisation des informations NAT64 à grande échelle pour une configuration NAT64 à grande échelle en définissant les paramètres de journalisation et de journalisation de session des groupes LSN. Il s’agit de paramètres au niveau du groupe et sont désactivés par défaut. L’appliance Citrix ADC enregistre les sessions NAT64 à grande échelle pour un groupe LSN uniquement lorsque les paramètres de journalisation et de journalisation de session sont activés.

Le tableau suivant affiche le comportement de journalisation d’un groupe LSN pour différents paramètres de journalisation et de journalisation de session.

Journalisation Journalisation de session Comportement de journalisation
Activé Activé Consigne les entrées de mappage LSN ainsi que les sessions LSN
Activé Désactivé Consigne les entrées de mappage LSN mais pas les sessions LSN
Désactivé Activé Journalise ni les entrées de mappage ni les sessions LSN

Pour enregistrer des informations NAT64 à grande échelle à l’aide de l’interface de ligne de commande

Pour définir les paramètres de journalisation et de journalisation de session lors de l’ajout d’un groupe LSN, à l’invite de commandes, tapez :

add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Pour définir les paramètres de journalisation et de journalisation de session pour un groupe LSN existant, à l’invite de commandes, tapez :

set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

Exemple de configuration

Dans cet exemple de configuration NAT64 à grande échelle, les paramètres de journalisation et de journalisation de session sont activés pour le groupe LSN LSN-NAT64-GROUP-1.

L’appliance Citrix ADC enregistre les informations de session NAT64 à grande échelle et de mappage pour les connexions des abonnés (dans le réseau 2001:DB8:5001::/96).

Exemple de configuration :

add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1  -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done

Journalisation des informations MSISDN pour NAT64 à grande échelle

Un numéro d’annuaire d’abonné intégré de station mobile (MSISDN) est un numéro de téléphone qui identifie de façon unique un abonné sur plusieurs réseaux mobiles. Le MSISDN est associé à un code de pays et à un code de destination national identifiant l’opérateur de l’abonné.

Vous pouvez configurer une appliance Citrix ADC pour inclure MSISDN dans les entrées de journal LSN NAT64 à grande échelle pour les abonnés des réseaux mobiles. La présence de MSISDN dans les journaux des LSN facilite un suivi plus rapide et précis d’un abonné mobile qui a enfreint une politique ou une loi, ou dont l’information est requise par les agences d’interception légales.

Les exemples d’entrées de journal LSN suivants incluent des informations MSISDN pour une connexion à partir d’un abonné mobile dans une configuration LSN. Les entrées de journal montrent qu’un abonné mobile dont MSISDN est E 164:5556543210 et l’adresse IPv6 est 2001:db 8:5001::9 a été connecté à la destination IP:Port 23.0.0. 1:80 via le NAT IP:Port 203.0.113. 63:45195 le 7 avril 2016, de 14:07:57 GMT à 14:10:59 GMT.

Type d’entrée du journal Exemple d’entrée de journal
Création de session 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Création de mappage 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
Suppression de session 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
Suppression de mappage 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

Étapes de configuration

Effectuez les tâches suivantes pour inclure des informations MSISDN dans les journaux LSN :

  • Créez un profil de journal LSN. Un profil de journal LSN inclut le paramètre ID d’abonné du journal, qui spécifie s’il faut ou non inclure les informations MSISDN dans les journaux LSN d’une configuration LSN.
  • Liez le profil de journal LSN à un groupe LSN d’une configuration LSN. Liez le profil de journal LSN créé à un groupe LSN d’une configuration LSN en définissant le paramètre de nom de profil de journal sur le nom de profil de journal LSN créé. Les informations MSISDN sont incluses dans tous les journaux LSN relatifs aux abonnés mobiles de ce groupe LSN.

Pour créer un profil de journal LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )

show lsn logprofile

Pour lier un profil de journal LSN à un groupe LSN d’une configuration NAT64 LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Exemple de configuration

Dans cet exemple de configuration LSN NAT64, le paramètre ID d’abonné du journal LSN LOG-PROFILE-MSISDN-1 est activé dans le profil de journal LOG-PROFILE-MSISDN-1. LOG-PROFILE-MSISDN-1 est lié au groupe LSN LSN-NAT64-GROUP-1. Les informations MSISDN sont incluses dans la session LSN et les journaux de mappage LSN pour les connexions des abonnés mobiles (dans le réseau 2001:DB8:5001::/96).

add lsn logprofile  LOG-PROFILE-MSISDN-1  -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename  LOG-PROFILE-MSISDN-1
Done

Journalisation compacte pour NAT à grande échelle

L’enregistrement des informations sur les LSN est l’une des fonctions importantes dont ont besoin les FSI pour satisfaire aux exigences légales et être en mesure d’identifier la source du trafic à tout moment. Cela se traduit par un volume énorme de données de journal, ce qui oblige les fournisseurs de services Internet à faire d’importants investissements pour maintenir l’infrastructure de journalisation.

La journalisation compacte est une technique permettant de réduire la taille du journal en utilisant une modification notationnelle impliquant des codes courts pour les noms d’événements et de protocoles. Par exemple, C pour le client, SC pour la session créée et T pour TCP. La journalisation compacte entraîne une réduction moyenne de 40% de la taille des journaux.

Étapes de configuration

Effectuez les tâches suivantes pour consigner les informations LSN au format compact :

  1. Créez un profil de journal LSN. Un profil de journal LSN inclut le paramètre Log Compact, qui spécifie s’il faut ou non enregistrer les informations au format compact pour une configuration LSN.
  2. Liez le profil de journal LSN à un groupe LSN d’une configuration LSN. Liez le profil de journal LSN créé à un groupe LSN d’une configuration LSN en définissant le paramètre Log Profile Name sur le nom de profil de journal LSN créé. Toutes les sessions et mappages de ce groupe LSN sont enregistrés au format compact.

Pour créer un profil de journal LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)

show lsn logprofile

Pour lier un profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname> -logProfileName <lsnlogprofilename>

show lsn group

Exemple de configuration pour NAT64 :

add lsn logprofile  LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done

Journalisation des informations d’en-tête HTTP

L’appliance Citrix ADC peut consigner les informations d’en-tête de requête d’une connexion HTTP qui utilise la fonctionnalité Citrix ADC NAT64 à grande échelle. Les informations d’en-tête suivantes d’un paquet de requête HTTP peuvent être enregistrées :

  • URL à laquelle la requête HTTP est destinée
  • Méthode HTTP spécifiée dans la requête HTTP
  • Version HTTP utilisée dans la requête HTTP
  • Adresse IPv6 de l’abonné qui a envoyé la requête HTTP

Les journaux d’en-tête HTTP peuvent être utilisés par les FAI pour voir les tendances liées au protocole HTTP parmi un ensemble d’abonnés. Par exemple, un FAI peut utiliser cette fonctionnalité pour trouver le site Web le plus populaire parmi un ensemble d’abonnés.

Étapes de configuration

Effectuez les tâches suivantes pour configurer l’appliance Citrix ADC pour consigner les informations d’en-tête HTTP :

  • Créez un profil de journal d’en-tête HTTP. Un profil de journal d’en-tête HTTP est un ensemble d’attributs d’en-tête HTTP (par exemple, URL et méthode HTTP) qui peuvent être activés ou désactivés pour la journalisation.
  • Liez l’en-tête HTTP à un groupe LSN d’une configuration NAT64 à grande échelle. Liez le profil du journal des en-têtes HTTP à un groupe LSN d’une configuration LSN en définissant le paramètre nom du profil du journal des en-têtes HTTP sur le nom du profil du journal des en-têtes HTTP créé. L’appliance Citrix ADC consigne ensuite les informations d’en-tête HTTP de toutes les requêtes HTTP liées au groupe LSN. Un profil de journal d’en-tête HTTP peut être lié à plusieurs groupes LSN, mais un groupe LSN ne peut avoir qu’un seul profil de journal d’en-tête HTTP.

Pour créer un profil de journal d’en-tête HTTP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

Pour lier un profil de journal d’en-tête HTTP à un groupe LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

Exemple de configuration

add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done

Affichage des sessions NAT64 à grande échelle actuelles

Vous pouvez afficher les sessions NAT64 à grande échelle actuelles afin de détecter les sessions indésirables ou inefficaces sur l’appliance Citrix ADC. Vous pouvez afficher toutes ou certaines sessions NAT64 à grande échelle sur la base des paramètres de sélection.

Remarque

Lorsqu’il existe plus d’un million de sessions NAT64 à grande échelle sur l’appliance Citrix ADC, Citrix recommande d’utiliser les paramètres de sélection pour afficher les sessions NAT64 à grande échelle sélectionnées au lieu de les afficher toutes.

Pour afficher toutes les sessions NAT64 à grande échelle à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

show lsn session –nattype NAT64

Pour afficher des sessions NAT64 sélectives à grande échelle à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Affichage des statistiques NAT64 à grande échelle

Vous pouvez afficher des statistiques relatives au module NAT64 à grande échelle, et évaluer ses performances ou résoudre les problèmes. Vous pouvez afficher un résumé des statistiques de toutes les configurations NAT64 à grande échelle ou d’une configuration NAT64 à grande échelle particulière. Les compteurs statistiques reflètent les événements survenus depuis le dernier redémarrage de l’appliance Citrix ADC. Tous ces compteurs sont réinitialisés à 0 lorsque l’appliance Citrix ADC est redémarrée.

Pour afficher les statistiques totales de NAT64 à grande échelle à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

stat lsn nat64

Pour afficher les statistiques d’une configuration NAT64 à grande échelle spécifiée à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

stat lsn group <groupname>

Effacement des sessions NAT64 à grande échelle

Vous pouvez supprimer toutes les sessions NAT64 à grande échelle indésirables ou inefficaces de l’appliance Citrix ADC. L’appliance libère immédiatement les ressources (telles que l’adresse IP NAT, le port et la mémoire) allouées à ces sessions, ce qui rend les ressources disponibles pour les nouvelles sessions. L’appliance supprime également tous les paquets suivants liés à ces sessions supprimées. Vous pouvez supprimer toutes les sessions NAT64 à grande échelle ou sélectionnées de l’appliance Citrix ADC.

Pour effacer toutes les sessions NAT64 à grande échelle à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

flush lsn session –nattype NAT64

show lsn session –nattype NAT64

Pour effacer les sessions NAT64 sélectives à grande échelle à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

Exemple de configuration :

Effacer toutes les sessions NAT64 à grande échelle existantes sur une appliance Citrix ADC

flush lsn session  –nattype NAT64
Done

Effacer toutes les sessions NAT64 à grande échelle liées à l’entité cliente LSN-NAT64-CLIENT-1

flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done

Effacer toutes les sessions NAT64 à grande échelle liées à un réseau d’abonnés (2001:DB8:5001::/96) de l’entité client LSN LSN-NAT64-CLIENT-2

flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done

Journalisation IPFIX

L’appliance Citrix ADC prend en charge l’envoi d’informations sur les événements LSN au format IPFIX (Internet Protocol Flow Information Export) vers l’ensemble configuré de collecteurs IPFIX. L’appliance utilise la fonctionnalité AppFlow existante pour envoyer des événements LSN au format IPFIX aux collecteurs IPFIX.

La journalisation basée sur IPFIX est disponible pour les événements liés à NAT64 suivants :

  • Création ou suppression d’une session LSN.
  • Création ou suppression d’une entrée de mappage LSN.
  • Allocation ou désallocation de blocs de ports dans le contexte d’un NAT déterministe.
  • Allocation ou désallocation de blocs de ports dans le contexte de NAT dynamique.
  • Chaque fois que le quota de session d’abonné est dépassé.

Points à considérer avant de configurer la journalisation IPFIX

Avant de commencer à configurer IPSec ALG, tenez compte des points suivants :

Étapes de configuration

Effectuez les tâches suivantes pour consigner les informations LSN au format IPFIX :

  • Activez la journalisation LSN dans la configuration AppFlow. Activez le paramètre de journalisation LSN dans le cadre de la configuration AppFlow.
  • Créez un profil de journal LSN. Un profil de journal LSN inclut le paramètre IPFIX qui active ou désactive les informations de journal au format IPFIX.
  • Liez le profil de journal LSN à un groupe LSN d’une configuration LSN. Liez le profil de journal LSN à un ou plusieurs groupes LSN. Les événements liés au groupe LSN lié seront enregistrés au format IPFIX.

Pour activer la journalisation LSN dans la configuration AppFlow à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set appflow param -lsnLogging ( ENABLED | DISABLED )

show appflow param

Pour créer un profil de journal LSN à l’aide de l’interface de ligne de commande, tapez

À l’invite de commandes, tapez :

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

Pour créer un profil de journal LSN à l’aide de l’interface graphique

Accédez à Système > NAT à grande échelle > Profils, cliquez sur onglet Journal, puis ajoutez un profil de journal.

Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface graphique

  1. Accédez à Système > NAT à grande échelle > Groupe LSN, ouvrez le groupe LSN.
  2. Dans Paramètres avancés, cliquez sur + Profil de journal pour lier le profil de journal créé au groupe LSN.