Citrix ADC

Comment enregistrer une trace de paquets sur Citrix ADC

Cet article de dépannage explique comment un administrateur peut enregistrer une trace de paquets réseau à l’aide de l’interface graphique Citrix ADC.

Points à retenir

  • Citrix vous recommande d’utiliser la version récente de Wireshark à partir de la « section de construction automatisée » disponible dans la page Web suivante : http://www.wireshark.org/download/automated.

  • Dans Citrix ADC version 10.5 ou ultérieure, pour déchiffrer la capture et s’assurer que les paramètres ECC (Elliptic Curve Cryptography), la réutilisation de session et les paramètres DH sont désactivés à partir du serveur virtuel. Vous devez le faire avant de capturer une trace.

Enregistrer la trace de paquets sur NetScaler version 11.1

  1. Accédez à la page Système > Diagnostics.
  2. cliquez sur le lien Démarrer une nouvelle trace dans la page Diagnostic, comme indiqué dans la capture d’écran suivante.

    Accéder à la page Diagnostic

  3. Mettez à jour la taille du paquet à 0 dans le champ Taille du paquet .

    Taille du paquet

  4. Cliquez sur Démarrer pour commencer à enregistrer la trace des paquets réseau.
  5. Cliquez sur Arrêter et télécharger pour arrêter l’enregistrement de la trace des paquets réseau une fois le test terminé.

    Trace d'arrêt et de téléchargement

  6. Sélectionnez le fichier requis, puis cliquez sur Sélectionner, puis sur Télécharger.

    Télécharger la trace des paquets

  7. Ouvrez le fichier de trace de paquets réseau avec l’utilitaire Wireshark pour afficher le contenu du fichier.

Enregistrer le suivi des paquets sur l’appliance NetScaler 10.5

  1. Accédez à la page Système > Diagnostics.

    Accès à la page de diagnostic

  2. Cliquez sur le lien Démarrer une nouvelle trace sous Outils de support technique, comme illustré dans la capture d’écran suivante.
  3. Mettez à jour la taille du paquet à 0 dans le champ Taille du paquet .

    Taille du paquet

    Remarque : si les en-têtes de matériel ne sont pas requis, sélectionnez Capture trace au format .pcap.

  4. Cliquez sur Démarrer pour commencer à enregistrer la trace des paquets réseau.
  5. Cliquez sur OK pour arrêter l’enregistrement de la trace des paquets réseau une fois le test terminé.

    Arrêter l'enregistrement de trace

    Un fichier nstrace.cap est généré, qui contient la trace des paquets réseau.

  6. Mettez en surbrillance le fichier requis et cliquez sur Télécharger.

    Télécharger le fichier

  7. Spécifiez une destination et enregistrez la trace des paquets.
  8. Ouvrez le fichier de trace de paquets réseau avec l’utilitaire Wireshark pour afficher le contenu du fichier.

    Remarque : sélectionnez les paquets SSL déchiffrés (SSLPLAIN) pour déchiffrer la trace des paquets sans la clé privée.

    Paquets SSL déchiffrés

Capture des clés principales SSL

Dans les versions 11.0, 11.1 et supérieures, il existe une option pour capturer les clés de session qui n’est valide que pour cette session/nstrace particulière et cette option peut être utilisée si vous ne voulez pas partager la clé privée ou utiliser le mode SSLPLAIN. Pour plus d’informations, consultez https://support.citrix.com/article/CTX135889.

Exporter les clés de session sans partager la clé privée

Dans la plupart des scénarios, la clé privée n’est pas disponible ou partagée. Dans de tels scénarios, nous pouvons suggérer d’exporter les clés de session SSL au lieu de la clé privée. Lire, [Comment exporter et utiliser les clés de session SSL pour déchiffrer les traces SSL sans partager la clé privée SSL, reportez-vous à la section https://support.citrix.com/article/CTX135889.

Filtres

En outre, il est toujours recommandé d’ajouter des filtres basés sur IP tout en prenant des traces. Le processus garantit que vous capturez uniquement le trafic intéressé, ce qui facilite votre dépannage. L’ajout de filtres diminue également la charge sur l’appliance tout en faisant des traces.

Section de filtrage

Des filtres basés sur IP simples suffisent pour obtenir les bonnes captures. Pour plus d’informations sur nstrace les filtres et les exemples, consultez la page Documentation Citrix .

Cas d’utilisation pour capturer une trace de paquets avec un filtre IP du serveur virtuel (à la fois frontal et backend)

En utilisant un filtre de l’adresse IP du serveur virtuel et en activant l’option « —link » dans la CLI ou en sélectionnant l’option « Trace filtered connection peer traffic » dans l’interface graphique (disponible 10.1 et versions ultérieures), vous pouvez capturer à la fois le trafic frontal et back-end pour l’adresse IP.

start nstrace -size 0 -filter "CONNECTION.IP.EQ(1.1.1.1)" -link ENABLED

show nstrace
        State:  RUNNING          Scope:  LOCAL            TraceLocation:  "/var/nstrace/24Mar2017_16_00_19/..." Nf:  24                  Time:  3600              Size:  0                 Mode:  TXB NEW_RX
        Traceformat:  NSCAP      PerNIC:  DISABLED        FileName:  24Mar2017_16_00_19 Filter:  "CONNECTION.IP.EQ(1.1.1.1)" Link:  ENABLED           Merge:  ONSTOP           Doruntimecleanup:  ENABLED
        TraceBuffers:  5000      SkipRPC:  DISABLED       Capsslkeys:  DISABLED    InMemoryTrace:  DISABLED
<!--NeedCopy-->

Merge

Capture des traces cycliques

Il est toujours difficile de résoudre un problème intermittent. Le traçage cyclique est le mieux adapté aux problèmes intermittents. Les traces peuvent être exécutées sur une période de quelques heures ou quelques jours avant que le problème ne se produise. Vous pouvez également utiliser un filtre spécifique et évaluer la taille des fichiers de trace générés avant de l’exécuter plus longtemps.

Exécutez la commande suivante à partir de l’interface de ligne de commande :

start nstrace -nf 60 -time 30 -size 0
This particular trace will create 60 files each of them for 30 sec. This means the files will start getting overwritten after 60 trace files or 30 mins
Show nstrace à To check the status of the nstrace
Stop nstrace à To stop the nstrace.

<!--NeedCopy-->

Recommandations

Sur une unité gérant Go de trafic par seconde, la capture du trafic est un processus très gourmand en ressources. L’impact sur les ressources est principalement en termes de CPU et d’espace disque. L’impact sur l’espace disque peut être réduit en utilisant des expressions de filtrage. Toutefois, l’impact sur le processeur reste et provoque parfois une légère augmentation car l’appliance doit désormais traiter les paquets en fonction du filtre avant de les capturer.

Les meilleures pratiques en matière de traçage sont les suivantes :

  1. La durée d’exécution de la trace doit être aussi limitée que possible lorsque vous vous assurez toujours que les paquets d’intérêt sont capturés.
  2. Planifiez l’activité de traçage à un moment où le nombre d’utilisateurs (et donc le trafic) est considérablement réduit, par exemple pendant les heures de repos.

Plus de ressources

Désactiver la réutilisation de session sur le serveur virtuel à partir de l’interface graphique

La réutilisation de session est désactivée lorsque vous capturez une trace pour effectuer une connexion SSL dans la trace. Lorsqu’il est activé, vous pouvez capturer une poignée de main partielle dans la trace. Assurez-vous d’activer l’option après la collection de traces. Ne désactivez pas une réutilisation de session SSL lorsque la méthode de persistance est sslsession, car elle rompt la persistance des connexions existantes. Pour plus d’informations, reportez-vous à la section https://support.citrix.com/article/CTX121925.

  1. Ouvrez le serveur virtuel et accédez aux paramètres SSL.
  2. Désactivez Activer la réutilisation de session si cette option est activée.

    Activer la réutilisation de session

Désactiver la réutilisation de session sur le serveur virtuel à partir de la CLI

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour désactiver DH Param à partir du serveur virtuel :

    set ssl vserver "vServer_Name" -sessReuse DISABLED

Désactiver le paramètre DH sur le serveur virtuel à partir de l’interface graphique

Reportez-vous https://support.citrix.com/article/CTX213335 à la section Pour comprendre le paramètre DH.

  1. Ouvrez le serveur virtuel et accédez aux paramètres SSL.
  2. Désactivez DH Param si cette option est activée.

    Paramètres SSL

Désactiver le paramètre DH sur le serveur virtuel à partir de la CLI

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour désactiver DH Param à partir du serveur virtuel :

    set ssl vserver "vServer_Name" -dh DISABLED

Désactiver la courbe ECC sur le serveur virtuel à partir de l’interface graphique

La courbe ECC est désactivée pour déchiffrer la trace SSL capturée avec une clé privée. Vous ne devez pas désactiver les clés si les chiffrements SSL associés sont utilisés. Pour plus d’informations sur la courbe ECC, voir https://support.citrix.com/article/CTX205289

  1. Ouvrez le serveur virtuel et accédez à Courbe ECC.

    Courbe ECC

  2. Si aucune courbe ECC n’est liée au serveur virtuel, aucune autre action n’est requise.

    Aucune courbe CC

  3. Si une courbe ECC est liée au serveur virtuel, cliquez sur la courbe ECC et délier le serveur virtuel.

Désactiver la courbe ECC sur le serveur virtuel à partir de la CLI

  1. SSH à la console de l’appliance.
  2. Exécutez la commande suivante pour chaque courbe ECC liée au serveur virtuel :

    unbind ssl vserver "vServer_Name" -eccCurveName "ECC_Curve_Name"