Citrix ADC

大規模な NAT64 のロギングとモニタリング

大規模な NAT64 情報をログに記録して、問題の診断とトラブルシューティング、法的要件を満たすことができます。統計カウンタを使用して、関連する現在のセッションを表示することで、大規模な NAT64 展開のパフォーマンスを監視できます。

大規模な NAT64 のロギング

ISP が法的要件を満たし、いつでもトラフィックの送信元を特定するには、大規模な NAT64 情報のロギングが必要です。

大規模な NAT64 マッピングエントリのログメッセージは、次の情報で構成されます。

  • ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)。
  • タイムスタンプ。
  • エントリタイプ (MAPPING)。
  • マッピング・エントリが作成されたか、削除されたか。
  • 加入者の IP アドレス、ポート、およびトラフィックドメイン ID。
  • NAT の IP アドレスとポート。
  • プロトコル名。
  • 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
    • エンドポイントに依存しないマッピングの場合、宛先 IP アドレスおよびポートはログに記録されません。
    • 宛先 IP アドレスのみがアドレス依存マッピング用にログに記録されます。ポートはログに記録されません。
    • 宛先 IP アドレスとポートは、アドレスポートに依存するマッピング用にログに記録されます。

大規模な NAT64 セッションのログメッセージは、次の情報で構成されます。

  • ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
  • タイム・スタンプ
  • エントリの種類 (SESSION)
  • セッションが作成されるか、削除されるか
  • 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
  • NAT IP アドレスとポート
  • プロトコル名
  • 宛先 IP アドレス、ポート、およびトラフィックドメイン ID

次の表に、構成済みのログサーバに保存されている各タイプの大規模な NAT64 ログエントリの例を示します。ログエントリには、IPv6 アドレスが 2001: db 8:5001:: 9 であるサブスクライバが、宛先 IP: ポート 23.0.0. 1:80 を介して接続されていたことが示されています。2016 年 4 月 7 日の 63:45195(グリニッジ標準時 14:07:57 から 14:10:59 まで)。

ログエントリタイプ サンプルログエントリ
セッションの作成 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
マッピングの作成 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
セッションの削除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
マッピングの削除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

構成の手順

LSN グループのロギングパラメータとセッションロギングパラメータを設定することで、大規模な NAT64 設定用の大規模な NAT64 情報のロギングを設定できます。これらはグループレベルのパラメータであり、デフォルトでは無効になっています。Citrix ADCアプライアンスは、LSNグループの大規模なNAT64セッションを記録するのは、ロギングとセッションロギングの両方のパラメータが有効になっている場合のみです。

次の表は、ロギングパラメータとセッションロギングパラメータのさまざまな設定に対する LSN グループのロギング動作を示しています。

ログ セッションロギング ロギングの動作
有効 Enabled LSN マッピングエントリと LSN セッションを記録します。
Enabled 無効 LSN マッピングエントリを記録しますが、LSN セッションは記録しません。
無効 Enabled マッピングエントリも LSN セッションもログに記録しません。

CLI を使用して大規模な NAT64 情報をログに記録するには

LSN グループの追加時にロギングおよびセッションロギングのパラメータを設定するには、コマンドプロンプトで次のように入力します。

add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

既存の LSN グループのロギングパラメータとセッションロギングパラメータを設定するには、コマンドプロンプトで次のように入力します。

set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

構成例

この大規模な NAT64 設定の例では、LSN グループ LSN-NAT64-GROUP-1 に対してロギングパラメータとセッションロギングパラメータが有効になっています。

Citrix ADCアプライアンスは、加入者からの接続に関する大規模なNAT64セッションおよびマッピング情報をログに記録します(ネットワーク2001:DB 8:5001:: /96)。

設定例:

add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1  -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done

大規模な NAT64 の MSISDN 情報のロギング

モバイルステーション統合サブスクライバディレクトリ番号(MSISDN)は、複数のモバイルネットワークにわたるサブスクライバを一意に識別する電話番号です。MSISDN は、加入者のオペレータを識別する国コードおよび国別宛先コードに関連付けられています。

Citrix ADC アプライアンスは、モバイルネットワークの加入者の大規模な NAT64 LSN ログエントリに MSISDN を含めるように構成できます。LSN ログに MSISDN が存在すると、ポリシーまたは法律に違反したモバイル加入者、または合法的な傍受機関によって情報が要求されるモバイル加入者の迅速かつ正確なバックトレースが容易になります。

次の LSN ログエントリの例には、LSN 設定のモバイルサブスクライバからの接続の MSISDN 情報が含まれています。ログエントリには、MSISDN が E 164:5556543210 で、IPv6 アドレスが 2001: デシベル8:5001:: 9 であるモバイルサブスクライバが、NAT IP を介して宛先 IP: ポート 23.0.0. 1:80 に接続されていたことが示されています。2016 年 4 月 7 日の 14:07:57 GMT から 14: 10:59 までの 63:45195 です。

ログエントリタイプ サンプルログエントリ
セッションの作成 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
マッピングの作成 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
セッションの削除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
マッピングの削除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

構成の手順

LSN ログに MSISDN 情報を含めるには、次のタスクを実行します

  • LSN ログプロファイルを作成します。LSN ログプロファイルには、LSN 設定の LSN ログに MSISDN 情報を含めるかどうかを指定するログサブスクライバ ID パラメータが含まれます。
  • LSN ログプロファイルを LSN 構成の LSN グループにバインドします。作成された LSN ログプロファイル名パラメーターを作成された LSN ログプロファイル名に設定して、LSN 構成の LSN グループにバインドします。MSISDN 情報は、この LSN グループのモバイルサブスクライバに関連するすべての LSN ログに含まれています。

CLI を使用して LSN ログプロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )

show lsn logprofile

CLI を使用して、LSN ログプロファイルを NAT64 LSN 設定の LSN グループにバインドするには

コマンドプロンプトで、次のように入力します。

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

構成例

この NAT64 LSN 設定の例では、LSN ログプロファイル LOG-PROFILE-MSISDN-1 で、ログサブスクライバ ID パラメータが有効になっています。LOG-PROFILE-MSISDN-1は、LSN グループ LSN-NAT64 グループ-1 にバインドされています。MSISDN 情報は、モバイルサブスクライバ(ネットワーク 2001:DB 8:5001:: /96)からの接続の LSN セッションログおよび LSN マッピングログに含まれます。

add lsn logprofile  LOG-PROFILE-MSISDN-1  -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename  LOG-PROFILE-MSISDN-1
Done

大規模な NAT のコンパクトロギング

LSN 情報のロギングは、ISP が法的要件を満たし、いつでもトラフィックの送信元を特定できるようにするために必要な重要な機能の 1 つです。その結果、ログデータが大量に作成され、ISPはログインフラストラクチャを維持するために多額の投資をする必要があります。

コンパクトログは、イベント名とプロトコル名の短いコードを含む表記変更を使用して、ログサイズを小さくする手法です。たとえば、クライアントの場合は C、作成されたセッションの場合は SC、TCP の場合は T を指定します。コンパクトログでは、ログサイズが平均 40% 削減されます。

構成の手順

コンパクト形式で LSN 情報をロギングするには、次の作業を実行します。

  1. LSN ログプロファイルを作成します。LSN ログプロファイルには、LSN 構成の情報をコンパクト形式で記録するかどうかを指定する Log Compact パラメーターが含まれています。
  2. LSN ログプロファイルを LSN 構成の LSN グループにバインドします。作成された LSN ログプロファイル名に [ログプロファイル名] パラメーターを設定して、作成された LSN ログプロファイルを LSN 構成の LSN グループにバインドします。この LSN グループのすべてのセッションとマッピングは、コンパクト形式で記録されます。

CLI を使用して LSN ログプロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)

show lsn logprofile

CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには

コマンドプロンプトで、次のように入力します。

bind lsn group <groupname> -logProfileName <lsnlogprofilename>

show lsn group

NAT64 の設定例:

add lsn logprofile  LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done

HTTP ヘッダー情報のロギング

Citrix ADCアプライアンスは、Citrix ADCの大規模なNAT64機能を使用しているHTTP接続の要求ヘッダー情報をログに記録できます。HTTP 要求パケットの次のヘッダー情報をログに記録できます。

  • HTTP リクエストの宛先となる URL
  • HTTP リクエストで指定された HTTP メソッド
  • HTTP リクエストで使用される HTTP バージョン
  • HTTP 要求を送信したサブスクライバの IPv6 アドレス

ISP は HTTP ヘッダーログを使用して、一連のサブスクライバ間の HTTP プロトコルに関連する傾向を確認できます。たとえば、ISPはこの機能を使用して、一連の加入者の中で最も人気のあるWebサイトを見つけることができます。

構成の手順

HTTP ヘッダー情報をログに記録するように Citrix ADC アプライアンスを構成するには、次のタスクを実行します。

  • HTTP ヘッダーログプロファイルを作成します。HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性(URL や HTTP メソッドなど)のコレクションです。
  • HTTP ヘッダーを大規模な NAT64 設定の LSN グループにバインドします。HTTP ヘッダーログプロファイル名パラメータを作成された HTTP ヘッダーログプロファイルの名前に設定することにより、HTTP ヘッダーログプロファイルを LSN 設定の LSN グループにバインドします。次に、Citrix ADCアプライアンスは、LSNグループに関連するすべてのHTTP要求のHTTPヘッダー情報をログに記録します。HTTP ヘッダーログプロファイルは、複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか設定できません。

コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには

コマンドプロンプトで、次のように入力します。

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

コマンドラインインターフェイスを使用して、HTTP ヘッダーログプロファイルを LSN グループにバインドするには

コマンドプロンプトで、次のように入力します。

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

構成例

add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done

現在の大規模な NAT64 セッションの表示

Citrix ADCアプライアンス上の不要なセッションや非効率的なセッションを検出するために、現在の大規模NAT64セッションを表示できます。選択パラメータに基づいて、大規模な NAT64 セッションすべてまたは一部を表示できます。

Citrix ADCアプライアンス上に100万を超える大規模NAT64セッションが存在する場合は、選択パラメータを使用して選択した大規模NAT64セッションをすべて表示するのではなく、選択パラメータを使用することをお勧めします。

コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべて表示するには

コマンドプロンプトで、次のように入力します。

show lsn session –nattype NAT64

コマンドラインインターフェイスを使用して、選択的な大規模な NAT64 セッションを表示するには

コマンドプロンプトで、次のように入力します。

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

大規模な NAT64 統計情報の表示

大規模な NAT64 モジュールに関連する統計情報を表示し、そのパフォーマンスを評価したり、問題のトラブルシューティングを行うことができます。すべての大規模な NAT64 設定または特定の大規模な NAT64 設定の統計情報のサマリーを表示できます。統計カウンタには、Citrix ADCアプライアンスが最後に再起動されてからのイベントが反映されます。Citrix ADCアプライアンスが再起動されると、これらのカウンタはすべて0にリセットされます。

コマンドラインインターフェイスを使用して大規模な NAT64 の統計情報の合計を表示するには

コマンドプロンプトで、次のように入力します。

stat lsn nat64

コマンドラインインターフェイスを使用して、指定した大規模な NAT64 設定の統計情報を表示するには

コマンドプロンプトで、次のように入力します。

stat lsn group <groupname>

大規模な NAT64 セッションのクリア

不要なまたは非効率的な大規模NAT64セッションをCitrix ADCアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をただちに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、これらの削除されたセッションに関連する後続のパケットもすべてドロップします。Citrix ADCアプライアンスから、すべてまたは選択した大規模NAT64セッションを削除できます。

コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべてクリアするには

コマンドプロンプトで、次のように入力します。

flush lsn session –nattype NAT64

show lsn session –nattype NAT64

コマンドラインインターフェイスを使用して選択的な大規模な NAT64 セッションをクリアするには

コマンドプロンプトで、次のように入力します。

flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

設定例:

Citrix ADCアプライアンス上に存在するすべての大規模NAT64セッションをクリアする

flush lsn session  –nattype NAT64
Done

クライアントエンティティ LSN-NAT64-CLIENT-1 に関連する大規模な NAT64 セッションをすべてクリアします。

flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done

LSN クライアントエンティティ LSN-NAT64 CLIENT-2 の加入者ネットワーク(2001:DB 8:5001:: /96)に関連する大規模な NAT64 セッションをすべてクリアします。

flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done

IPFIX ロギング

Citrix ADCアプライアンスは、LSNイベントに関する情報をインターネット・プロトコル・フロー情報エクスポート(IPFIX)形式でIPFIXコレクタで構成されたセットに送信できます。アプライアンスは、既存のAppFlow機能を使用して、IPFIX形式のLSNイベントをIPFIXコレクタに送信します。

IPFIX ベースのロギングは、次の NAT64 関連イベントで使用できます。

  • LSN セッションの作成または削除。
  • LSN マッピングエントリの作成または削除。
  • Deterministic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
  • Dynamic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
  • サブスクライバセッションクォータを超えた場合。

IPFIX ロギングを構成する前に考慮すべきポイント

IPSec ALG の設定を開始する前に、次の点を考慮してください。

  • Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、「AppFlow機能の構成」を参照してください。

構成の手順

LSN 情報を IPFIX 形式でロギングするには、次の作業を実行します。

  • AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
  • LSN ログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれています。
  • LSN ログプロファイルを LSN 構成の LSN グループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは、IPFIX 形式で記録されます。

CLIを使用してAppFlow構成でLSNロギングを有効にするには

コマンドプロンプトで、次のように入力します。

set appflow param -lsnLogging ( ENABLED | DISABLED )

show appflow param

CLI を使用して LSN ログプロファイルを作成するにはコマンドプロンプトで

コマンドプロンプトで、次のように入力します。

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには

コマンドプロンプトで、次のように入力します。

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

GUI を使用して LSN ログプロファイルを作成するには

[システム] > [大規模NAT] > [プロファイル] に移動し、[ログ] タブをクリックしてログプロファイルを追加します。

GUI を使用して LSN ログプロファイルを LSN 構成の LSN グループにバインドするには

  1. [システム] > [大規模NAT] > [LSNグループ] に移動し、LSN グループを開きます。
  2. [詳細設定] で、 [+ ログプロファイル] をクリックして、作成したログプロファイルを LSN グループにバインドします。