Citrix ADC

记录和监视大型 NAT64

您可以记录大型 NAT64 信息,以诊断和解决问题,并满足法律要求。您可以通过使用统计计数器并显示相关的当前会话来监视大型 NAT64 部署的性能。

采伐大型 NAT64

ISP 需要记录大型 NAT64 信息,以满足法律要求并在任何给定时间识别流量来源。

大型 NAT64 映射条目的日志消息包含以下信息:

  • Citrix ADC 拥有的 IP 地址(NSIP 地址或 SNIP 地址),日志消息源自该地址。
  • 时间戳。
  • 条目类型(映射)。
  • 映射条目是创建还是删除。
  • 订阅者的 IP 地址、端口和流量域 ID。
  • NAT IP 地址和端口。
  • 协议名称。
  • 可能存在目标 IP 地址、端口和流量域 ID,具体取决于以下条件:
    • 不记录与端点点无关的映射的目标 IP 地址和端口。
    • 仅记录目标 IP 地址以进行与地址相关的映射。端口未记录。
    • 将记录目标 IP 地址和端口,以便与地址端口相关的映射。

大型 NAT64 会话的日志消息包含以下信息:

  • Citrix ADC 拥有的 IP 地址(NSIP 地址或 SNIP 地址),其中日志消息源自该地址
  • 时间戳
  • 输入类型(会话)
  • 会话是否已创建或删除
  • 订阅者的 IP 地址、端口和流量域 ID
  • NAT IP 地址和端口
  • 协议名称
  • 目标 IP 地址、端口和流量域 ID

下表显示了已配置日志服务器上存储的每种类型的大型 NAT64 日志条目示例。日志条目显示 IPv6 地址为 2001:db8:5001::9 的订阅者已于 2016 年 4 月 7 日 14:07:57 GMT 到 14:10:59 GMT 通过 NAT IP:端口 203.0.113.63:45195 连接到目标 IP:端口 23.0.0.1:80。

日志条目类型 示例日志条目
会话创建 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
映射创建 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
会话删除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
映射删除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

配置步骤

您可以通过设置 LSN 组的日志记录和会话日志记录参数,为大型 NAT64 配置配置大型 NAT64 信息的日志记录。这些是组级别参数,默认情况下处于禁用状态。仅当同时启用日志记录和会话日志记录参数时,Citrix ADC 设备才会记录 LSN 组的大型 NAT64 会话。

下表显示了针对日志记录和会话日志记录参数的各种设置的 LSN 组的日志记录行为。

日志记录 会话日志记录 日志记录行为
已启用 已启用 记录 LSN 映射条目以及 LSN 会话
已启用 已禁用 记录 LSN 映射条目但不记录 LSN 会话
已禁用 已启用 既不记录映射条目也不记录 LSN 会话

使用 CLI 记录大型 NAT64 信息

要在添加 LSN 组时设置日志记录和会话日志记录参数,请在命令提示符下键入:

add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

要为现有 LSN 组设置日志记录和会话日志记录参数,请在命令提示符下键入:

set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]

show lsn group

示例配置

在这个大型 NAT64 配置的示例中,为 LSN-NAT64-GrouP-1 启用了日志记录和会话日志记录参数。

Citrix ADC 设备记录大型 NAT64 会话和来自订阅服务器的连接的映射信息(在网络 2001:DB8:5001::/96 中)。

示例配置:

add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1  -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done

大型 NAT64 记录 MSISDN 信息

移动站综合用户目录号码 (MSISDN) 是一个电话号码,唯一标识跨多个移动网络的用户。MSISDN 与一个国家/地区代码和一个国家/地区代码相关联,标识用户的运营商。

您可以将 Citrix ADC 设备配置为在移动网络中用户的大规模 NAT64 LSN 日志条目中包含 MSISDNN。LSN 日志中存在 MSISDNs 有助于对违反政策或法律或合法拦截机构要求的移动用户进行更快、准确的回溯追踪。

以下示例 LSN 日志条目包括 LSN 配置中的移动订阅服务器连接的 MSISDN 信息。日志条目显示 MSISDN 为 E164:5556543210、IPv6 地址为 2001:db8:5001::9 的移动订阅者已于 2016 年 4 月 7 日 14:07:57 GMT 到 14:10:59 GMT 通过 NAT IP:端口 203.0.113.63:45195 连接到目标 IP:端口 23.0.0.1:80。

日志条目类型 示例日志条目
会话创建 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
映射创建 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP
会话删除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP
映射删除 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP

配置步骤

执行以下任务,以便在 LSN 日志中包括 MSISDN 信息:

  • 创建 LSN 日志配置文件。LSN 日志配置文件包括日志订阅者 ID 参数,该参数指定是否在 LSN 配置的 LSN 日志中包含 MSISDN 信息。
  • 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。通过将日志配置文件名称参数设置为创建的 LSN 日志配置文件名称,将创建的 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。MSISDN 信息包含在与此 LSN 组的移动用户相关的所有 LSN 日志中。

使用 CLI 创建 LSN 日志配置文件

在命令提示窗口中,键入:

add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )

show lsn logprofile

使用 CLI 将 LSN 日志配置文件绑定到 NAT64 LSN 配置的 LSN 组

在命令提示窗口中,键入:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

示例配置

在 NAT64 LSN 配置的此示例中,LSN 日志配置文件 LOG-PROFILE-MSISDN-1 已启用日志订阅者 ID 参数。LOG-PROFILE-MSISDN-1 绑定到 LSN 组 LSN-NAT64-GROUP-1。MSISDN 信息包含在 LSN 会话和 LSN 映射日志中,用于来自移动用户的连接(网络 2001:DB8:5001::/96)。

add lsn logprofile  LOG-PROFILE-MSISDN-1  -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename  LOG-PROFILE-MSISDN-1
Done

适用于大型 NAT 的紧凑日志记录

记录 LSN 信息是 ISP 满足法律要求并能够在任何给定时间识别流量源所需的重要功能之一。这最终导致大量的日志数据,需要 ISP 进行大量投资来维护日志基础设施。

紧凑日志记录是一种通过使用涉及事件和协议名称短代码的标注更改来减小日志大小的技术。例如,C 代表客户端,SC 代表创建的会话,T 代表 TCP。紧凑的日志记录导致日志大小平均减少 40%。

配置步骤

执行以下任务以紧凑格式记录 LSN 信息:

  1. 创建 LSN 日志配置文件。LSN 日志配置文件包括日志压缩参数,该参数指定是否以紧凑格式记录 LSN 配置的信息。
  2. 将LSN 日志配置文件绑定到 LSN 配置的 LSN 组。通过将日志配置文件名称参数设置为创建的 LSN 日志配置文件名称,将创建的 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。此 LSN 组的所有会话和映射都以紧凑格式记录。

使用 CLI 创建 LSN 日志配置文件

在命令提示窗口中,键入:

add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)

show lsn logprofile

使用 CLI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组

在命令提示窗口中,键入:

bind lsn group <groupname> -logProfileName <lsnlogprofilename>

show lsn group

NAT64 的示例配置:

add lsn logprofile  LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done

日志 HTTP 标头信息

Citrix ADC 设备可以记录使用 Citrix ADC 大型 NAT64 功能的 HTTP 连接的请求标头信息。可以记录 HTTP 请求数据包的以下标头信息:

  • HTTP 请求注定到的 URL
  • HTTP 请求中指定的 HTTP 方法
  • HTTP 请求中使用的 HTTP 版本
  • 发送 HTTP 请求的订阅者的 IPv6 地址

ISP 可以使用 HTTP 标头日志查看一组订阅者之间与 HTTP 协议相关的趋势。例如,ISP 可以使用此功能找出一组订阅者中最受欢迎的网站。

配置步骤

执行以下任务以配置 Citrix ADC 设备以记录 HTTP 标头信息:

  • 创建 HTTP 标头日志配置文件。HTTP 标头日志配置文件是 HTTP 标头属性(例如,URL 和 HTTP 方法)的集合,可以启用或禁用以进行日志记录。
  • 将 HTTP 标头绑定到大型 NAT64 配置的 LSN 组。通过将 HTTP 标头日志配置文件名称参数设置为创建的 HTTP 标头日志配置文件的名称,将 HTTP 标头日志配置文件绑定到 LSN 配置的 LSN 组。然后,Citrix ADC 设备会记录与 LSN 组相关的任何 HTTP 请求的 HTTP 标头信息。HTTP 标头日志配置文件可以绑定到多个 LSN 组,但 LSN 组只能有一个 HTTP 标头日志配置文件。

使用命令行界面创建 HTTP 标头日志配置文件

在命令提示窗口中,键入:

add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]

show lsn httphdrlogprofile

使用命令行界面将 HTTP 标头日志配置文件绑定到 LSN 组

在命令提示窗口中,键入:

bind lsn group <groupname> -httphdrlogprofilename <string>

show lsn group <groupname>

示例配置

add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1  -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done

显示当前大型 NAT64 会话

您可以显示当前大型 NAT64 会话,以检测 Citrix ADC 设备上的任何不需要或低效会话。您可以根据选择参数显示全部或部分大型 NAT64 会话。

注意

如果 Citrix ADC 设备上存在超过一百万个大型 NAT64 会话,Citrix 建议使用选择参数来显示选定的大型 NAT64 会话,而不是显示所有会话。

使用命令行界面显示所有大型 NAT64 会话

在命令提示窗口中,键入:

show lsn session –nattype NAT64

使用命令行界面显示选择性的大型 NAT64 会话

在命令提示窗口中,键入:

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

显示大型 NAT64 统计信息

您可以显示与大型 NAT64 模块相关的统计信息,并评估其性能或排除问题。您可以显示所有大型 NAT64 配置或特定大型 NAT64 配置的统计信息摘要。统计计数器反映上次重新启动 Citrix ADC 设备后的事件。重新启动 Citrix ADC 设备时,所有这些计数器都将重置为 0。

使用命令行界面显示大型 NAT64 的总统计信息

在命令提示窗口中,键入:

stat lsn nat64

使用命令行界面显示指定的大型 NAT64 配置的统计信息

在命令提示窗口中,键入:

stat lsn group <groupname>

清除大型 NAT64 会话

您可以从 Citrix ADC 设备中移除任何不需要或低效率的大型 NAT64 会话。设备立即释放为这些会话分配的资源(如 NAT IP 地址、端口和内存),从而使资源可用于新会话。设备还会删除与这些已删除会话相关的所有后续数据包。您可以从 Citrix ADC 设备中删除所有或选定的大型 NAT64 会话。

使用命令行界面清除所有大型 NAT64 会话

在命令提示窗口中,键入:

flush lsn session –nattype NAT64

show lsn session –nattype NAT64

使用命令行界面清除选择性的大型 NAT64 会话

在命令提示窗口中,键入:

flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]

示例配置:

清除 Citrix ADC 设备上现有的所有大型 NAT64 会话

flush lsn session  –nattype NAT64
Done

清除与客户端实体 LSN-NAT64 客户端-1 相关的所有大型 NAT64 会话

flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done

清除与 LSN 客户端实体 LSN-NAT64-CLIENT-2 的订阅者网络 (2001:DB8:5001::/96) 相关的所有大型 NAT64 会话

flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done

IPFIX 日志记录

Citrix ADC 设备支持以 Internet 协议流信息导出 (IPFIX) 格式将有关 LSN 事件的信息发送到配置的 IPFIX 收集器集。设备使用现有的 AppFlow 功能以 IPFIX 格式将 LSN 事件发送到 IPFIX 收集器。

基于 IPFIX 的日志记录可用于以下 NAT64 相关事件:

  • 创建或删除 LSN 会话。
  • 创建或删除 LSN 映射条目。
  • 在确定性 NAT 上下文中分配或取消分配端口块。
  • 在动态 NAT 上下文中分配或取消分配端口块。
  • 每当超过订阅者会话配额时。

配置 IPFIX 日志记录之前要考虑的事项

在开始配置 IPsec ALG 之前,请考虑以下几点:

  • 必须在 Citrix ADC 设备上配置 AppFlow 功能和 IPFIX 收集器。相关说明,请参阅配置 AppFlow 功能

配置步骤

执行以下任务以 IPFIX 格式记录 LSN 信息:

  • AppFlow 配置中启用 LSN 日志记录。启用 LSN 日志记录参数作为 AppFlow 配置的一部分。
  • 创建 LSN 日志配置文件。LSN 日志配置文件包括 IPFIX 参数,用于启用或禁用 IPFIX 格式的日志信息。
  • 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。将 LSN 日志配置文件绑定到一个或多个 LSN 组。与绑定 LSN 组相关的事件将以 IPFIX 格式记录。

使用 CLI 在 AppFlow 配置中启用 LSN 日志记录

在命令提示窗口中,键入:

set appflow param -lsnLogging ( ENABLED | DISABLED )

show appflow param

若要使用命令提示符创建 LSN 日志配置文件,请键入

在命令提示窗口中,键入:

set lsn logprofile <logProfileName>  -logipfix ( ENABLED | DISABLED )

show lsn logprofile

使用 CLI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组

在命令提示窗口中,键入:

bind lsn group <groupname>  -logProfileName <lsnlogprofilename>

show lsn group

使用 GUI 创建 LSN 日志配置文件

导航到系统 > 大规模 NAT > 置文件”,单击日志选项卡,然后添加日志配置文件。

使用 GUI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组

  1. 导航到系统 > 大规模 NAT > LSN 组”, 打开 LSN 组。
  2. 高级设置中, 单击 + 日志配置文件 将创建的日志配置文件绑定到 LSN 组。