Citrix ADC

Comment enregistrer une trace de paquets sur Citrix ADC

Cet article de dépannage explique comment un administrateur peut enregistrer une trace de paquets réseau à l’aide de l’interface graphique Citrix ADC.

Points à retenir

  • Citrix vous recommande d’utiliser la version récente de Wireshark à partir de la « section de construction automatisée » disponible sur la page Web suivante :http://www.wireshark.org/download/automated.

  • Dans Citrix ADC version 10.5 ou ultérieure, pour déchiffrer la capture et s’assurer que ECC (Elliptic Curve Cryptography), les paramètres de réutilisation de session et DH sont désactivés à partir du serveur virtuel avant que la trace ne soit capturée.

Enregistrer le suivi des paquets sur NetScaler version 11.1

  1. Accédez à la page Système > Diagnostics.
  2. cliquez sur le lien Démarrer une nouvelle trace dans la page Diagnostic, comme indiqué dans la capture d’écran suivante.

    Accéder à la page Diagnostic

  3. Mettez à jour la taille du paquet à 0 dans le champ Taille du paquet .

    Taille du paquet

  4. Cliquez sur Démarrer pour commencer à enregistrer la trace des paquets réseau.
  5. Cliquez sur Arrêter et télécharger pour arrêter l’enregistrement de la trace des paquets réseau une fois le test terminé.

    Trace d'arrêt et de téléchargement

  6. Sélectionnez le fichier requis, puis cliquez sur Sélectionner, puis sur Télécharger.

    Télécharger la trace des paquets

  7. Ouvrez le fichier de trace de paquets réseau avec l’utilitaire Wireshark pour afficher le contenu du fichier.

Enregistrer le suivi des paquets sur l’appliance NetScaler 10.5

  1. Accédez à la page Système > Diagnostics.

    Accès à la page de diagnostic

  2. Cliquez sur le lien Démarrer une nouvelle trace sous Outils de support techniques comme illustré dans la capture d’écran suivante.
  3. Mettez à jour la taille du paquet à 0 dans le champ Taille du paquet .

    Taille du paquet

    Remarque : Si les en-têtes de matériel ne sont pas requis, sélectionnez Capture trace au format .pcap.

  4. Cliquez sur Démarrer pour commencer à enregistrer la trace des paquets réseau.
  5. Cliquez sur OK pour arrêter l’enregistrement de la trace des paquets réseau une fois le test terminé.

    Arrêter l'enregistrement de trace

    Un fichier nstrace.cap est généré, qui contient la trace des paquets réseau.

  6. Mettez en surbrillance le fichier requis et cliquez sur Télécharger.

    Télécharger le fichier

  7. Spécifiez une destination et enregistrez la trace des paquets.
  8. Ouvrez le fichier de trace de paquets réseau avec l’utilitaire Wireshark pour afficher le contenu du fichier.

    Remarque : sélectionnez les paquets SSL déchiffrés (SSLPLAIN) pour déchiffrer la trace des paquets sans la clé privée.

    Paquets SSL déchiffrés

Capture des clés principales SSL

Dans la version 11.0, 11.1 et supérieure, il y a une option pour capturer les clés de session qui n’est valide que pour cette session/nstrace particulière et cette option peut être utilisée si vous ne voulez pas partager la clé privée ou utiliser le mode SSLPLAIN. Pour de plus amples informations, consultez https://support.citrix.com/article/CTX135889.

Exporter les clés de session sans partager la clé privée

Dans la plupart des scénarios, la clé privée n’est pas disponible ou partagée. Dans de tels scénarios, nous pouvons suggérer d’exporter les clés de session SSL au lieu de la clé privée. Lisez, [Comment exporter et utiliser les clés de session SSL pour déchiffrer les traces SSL sans partager la clé privée SSL, reportez-vous à la sectionhttps://support.citrix.com/article/CTX135889.

Filtres

En outre, il est toujours recommandé d’ajouter des filtres basés sur IP tout en prenant des traces. Le processus garantit que vous capturez uniquement le trafic intéressé, ce qui facilite votre dépannage. L’ajout de filtres réduit également la charge sur l’appliance lors de la prise de traces.

Section de filtrage

Les filtres basés sur IP simples suffisent pour obtenir les bonnes captures. Pour obtenir une liste détaillée des filtres et des exemples, reportez-vous à la documentation Citrix - ns trace.

Utiliser le cas pour capturer une trace de paquets avec le filtre IP du serveur virtuel (front-end et backend)

En utilisant un filtre de l’adresse IP du serveur virtuel et en activant l’option « —link » dans l’interface de ligne de commande ou en sélectionnant l’option « Tracer le trafic pair de connexion filtrée » dans l’interface graphique (disponible 10.1 et versions ultérieures), vous pouvez capturer à la fois le trafic frontal et le trafic back-end pour cette adresse IP particulière. Avec cette option, il n’est pas recommandé de mentionner un filtre IP source ou IP de destination.

start nstrace -size 0 -filter "CONNECTION.IP.EQ(1.1.1.1)" -link ENABLED

show nstrace
        State:  RUNNING          Scope:  LOCAL            TraceLocation:  "/var/nstrace/24Mar2017_16_00_19/..." Nf:  24                  Time:  3600              Size:  0                 Mode:  TXB NEW_RX
        Traceformat:  NSCAP      PerNIC:  DISABLED        FileName:  24Mar2017_16_00_19 Filter:  "CONNECTION.IP.EQ(1.1.1.1)" Link:  ENABLED           Merge:  ONSTOP           Doruntimecleanup:  ENABLED
        TraceBuffers:  5000      SkipRPC:  DISABLED       Capsslkeys:  DISABLED    InMemoryTrace:  DISABLED

Fusionner

Capture des traces cycliques

Il est toujours difficile de résoudre un problème intermittent. Le traçage cyclique est le mieux adapté aux problèmes intermittents. Les traces peuvent être exécutées sur une période de quelques heures ou jours avant que le problème se produise. En outre, vous pouvez utiliser un filtre spécifique et évaluer la taille des fichiers de trace qui sont générés avant de l’exécuter plus longtemps.

Exécutez la commande suivante à partir de l’interface de ligne de commande :

start nstrace -nf 60 -time 30 -size 0
This particular trace will create 60 files each of them for 30 sec. This means the files will start getting overwritten after 60 trace files or 30 mins
Show nstrace à To check the status of the nstrace
Stop nstrace à To stop the nstrace.

Meilleures pratiques

Sur une unité gérant Go de trafic par seconde, la capture du trafic est un processus très exigeant en ressources. L’impact sur les ressources est principalement en termes de CPU et d’espace disque. L’impact sur l’espace disque peut être réduit en utilisant des expressions de filtrage. Cependant, l’impact sur le CPU reste et provoque parfois une légère augmentation, car l’appliance doit désormais traiter les paquets en fonction du filtre avant de les capturer.

La meilleure pratique en matière de traçage est :

  1. La durée d’exécution de la trace doit être aussi limitée que possible lorsque vous vous assurez toujours que les paquets d’intérêt sont capturés.
  2. Planifiez l’activité de traçage à un moment où le nombre d’utilisateurs (et donc le trafic) est considérablement réduit, par exemple pendant les heures de repos.

Plus de ressources

Désactiver la réutilisation de session sur le serveur virtuel à partir de l’interface graphique

La réutilisation de session est désactivée lorsque vous capturez une trace pour terminer une poignée de main SSL dans la trace. Lorsqu’il est activé, vous pouvez capturer une poignée de main partielle dans la trace. Assurez-vous d’activer l’option après la collecte de trace. Ne désactivez pas une réutilisation de session SSL lorsque la méthode de persistance est sslsession, car elle rompt la persistance des connexions existantes. Pour plus d’informations, reportez-vous à la section https://support.citrix.com/article/CTX121925.

  1. Ouvrez le serveur virtuel et accédez aux paramètres SSL.
  2. Désactivez Activer la réutilisation de session si cette option est activée.

    Activer la réutilisation de session

Désactiver la réutilisation de session sur le serveur virtuel à partir de la CLI

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour désactiver DH Param à partir du serveur virtuel :

    set ssl vserver "vServer_Name" -sessReuse DISABLED

Désactiver le paramètre DH sur le serveur virtuel à partir de l’interface graphique

Reportez-voushttps://support.citrix.com/article/CTX213335 à Pour comprendre le paramètre DH.

  1. Ouvrez le serveur virtuel et accédez aux paramètres SSL.
  2. Désactivez DH Param si cette option est activée.

    Paramètres SSL

Désactiver le paramètre DH sur le serveur virtuel à partir de l’interface de ligne de commande

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour désactiver DH Param à partir du serveur virtuel :

    set ssl vserver "vServer_Name" -dh DISABLED

Désactiver la courbe ECC sur le serveur virtuel à partir de l’interface graphique

La courbe ECC est désactivée pour déchiffrer la trace SSL capturée avec une clé privée. Vous ne devez pas désactiver les clés si les chiffrements SSL associés sont utilisés. Pour plus d’informations sur la courbe ECC, voirhttps://support.citrix.com/article/CTX205289

  1. Ouvrez le serveur virtuel et accédez à Courbe ECC.

    Courbe ECC

  2. S’il n’y a pas de courbe ECC liée au serveur virtuel, aucune autre action n’est requise.

    Aucune courbe CC

  3. Si une courbe ECC est liée au serveur virtuel, cliquez sur la courbe ECC et délier le serveur virtuel.

Désactiver la courbe ECC sur le serveur virtuel à partir de l’interface de ligne de commande

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour chaque courbe ECC liée au serveur virtuel :

    unbind ssl vserver "vServer_Name" -eccCurveName "ECC_Curve_Name"