大规模NAT64的日志和监控
您可以记录大量NAT64信息,用于故障诊断和故障排除,并满足法律要求。您可以通过统计指标监控NAT64大规模部署的性能,并显示相关的当前会话。
大规模NAT64日志
isp需要记录大量的NAT64信息,以满足法律要求并在任何给定时间识别流量来源。
当NAT64映射表规模较大时,日志信息主要包括以下内容:
- Citrix ADC归属的IP地址(NSIP地址或SNIP地址)。
- 时间戳。
- 条目类型(映射)。
- 无论映射条目创建或删除。
- 用户的IP地址,端口和流量域ID。
- NAT IP地址和端口。
- 协议名称。
- 根据以下情况,可能存在目的IP地址、端口和流量域ID:
- 目的IP地址和端口未登录为端点独立映射。
- 地址依赖映射时,只记录目的IP地址。该端口没有日志记录。
- 目的IP地址和端口记录用于地址-端口依赖映射。
对于大规模的NAT64会议包括以下信息的日志信息:
- Citrix ADC归属的IP地址(NSIP地址或SNIP地址)
- 时间戳
- 条目类型(会话)
- 会话是否被创建或删除
- 用户的IP地址、端口和流量域ID
- NAT IP地址和端口
- 协议名称
- 目的IP地址、端口和流量域ID
下表显示了在配置的日志服务器上存储的各种类型的NAT64大规模日志的样例。日志条目显示了一个IPv6地址为2001:db8:5001::9的用户在2016年4月7日14:07:57 GMT到14:10:59 GMT之间通过NAT IP:port 203.0.113.63:45195连接到目的IP:port 23.0.0.1:80。
| 日志条目类型 | 示例日志条目 |
|---|---|
| 会话创建 | 2016年4月7日:14:07:57 GMT信息化0 PPE-10:默认LSN LSN_SESSION 5532 0:会话创建客户端IP端口:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| 创建映射 | 04/07/2016:14:07:57 GMT Informational 0- ppe -10: default LSN LSN_ADDR_MAPPING 5533 0: ADM CREATED Client IP-Port:TD .日志含义2001: db8:5001:: 9-34937:0,NatIP:NatPort 203.0.113.63:45195,目的IP:TD 23.0.0.1:80,协议:TCP |
| 删除会话 | 04/07/2016:14:10:59 GMT 0- pe -10: default LSN LSN_SESSION 25012 0: SESSION DELETED Client IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| 映射删除 | 04/07/2016:14:10:59 GMT 0- pe -10: default LSN LSN_ADDR_MAPPING 25013 0: ADM DELETED Client IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
配置步骤
通过设置LSN组的日志记录参数和会话日志记录参数,可以配置大规模NAT64信息的日志记录。这些是组级别参数,默认情况下是禁用的。只有同时启用日志和会话日志参数时,Citrix ADC设备才会为LSN组记录大规模NAT64会话。
下表显示LSN组的日志记录和会话日志记录参数的各种设置的日志记录行为。
| 日志记录 | 会话日志 | 日志记录的行为 |
|---|---|---|
| 启用 | 启用 | 记录LSN映射项和LSN会话 |
| 启用 | 禁用 | 只记录LSN映射项,不记录LSN会话 |
| 禁用 | 启用 | 不记录映射项和LSN会话 |
通过CLI记录大量NAT64信息
要在添加LSN组时设置日志记录和会话日志记录参数,在命令提示符下输入:
add lsn group -clientname [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)] show lsn group 要为已存在的LSN组设置日志和会话日志参数,在命令提示符下输入:
set lsn group [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)] show lsn group 示例配置
在本例中,大规模配置NAT64,为LSN组LSN-NAT64- group -1启用日志和会话日志参数。
Citrix ADC设备记录来自订阅服务器的连接的大规模NAT64会话和映射信息(在网络2001:DB8:5001::/96中)。
示例配置:
添加lsn客户机LSN-NAT64-CLIENT-1完成绑定完成lsn客户机LSN-NAT64-CLIENT-1 -network6 2001: DB8:5001:: / 96完成添加lsn池LSN-NAT64-POOL-1做绑定lsn池LSN-NAT64-POOL-1 203.0.113.61——203.0.113.70完成添加lsn ip6profile LSN-NAT64-PROFILE-1类型NAT64 -natprefix 2001: DB8:300:: / 96完成添加lsn组LSN-NAT64-GROUP-1列出lsn - nat64 - client -1 -ip6profile lsn - nat64 - profile -1 -logging ENABLED -sessionLogging ENABLED Done bind lsn group lsn - nat64 - group -1 -poolname lsn - nat64 -pool -1 Done 日志MSISDN信息大规模NAT64
移动台综合订户目录号码(MSISDN)是唯一地识别在多个移动网络的订户的电话号码。该MSISDN与国家代码和国内目的地代码,用于识别用户的运营商相关联。
您可以将Citrix ADC设备配置为在移动网络中的用户的大规模NAT64 LSN日志条目中包含MSISDNs。LSN日志中MSISDNs的存在有助于更快和准确地追溯违反政策或法律的移动用户,或合法拦截机构要求其信息的用户。
下面的示例LSN日志条目包括LSN配置中来自移动订阅者的连接的MSISDN信息。日志条目显示一个移动用户,其MSISDN为e640:5556543210, IPv6地址为2001:db8:5001::9,在2016年4月7日14:07:57 GMT到14:10:59 GMT之间,通过NAT IP:端口203.0.113.63:45195连接到目的IP:端口23.0.0.1:80。
| 日志条目类型 | 示例日志条目 |
|---|---|
| 会话创建 | 04/07/2016:14:07:57 GMT信息0- pe -10: default LSN LSN_SESSION 5532 0: SESSION已创建E164:5556543210客户端IP端口:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| 创建映射 | 04/07/2016:14:07:57 GMT Informational 0- ppe -10: default LSN LSN_ADDR_MAPPING 5533 0: ADM CREATED .日志含义E164:5556543210客户端IP端口:TD2001: db8:5001:: 9-34937:0,NatIP:NatPort 203.0.113.63:45195,目的IP:TD 23.0.0.1:80,协议:TCP |
| 删除会话 | 04/07/2016:14:10:59 GMT 0- pe -10: default LSN LSN_SESSION 25012 0: SESSION DELETEDE164:5556543210客户端IP端口:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| 映射删除 | 04/07/2016:14:10:59 GMT 0- ppe -10: default LSN LSN_ADDR_MAPPING 25013 0: ADM DELETEDE164:5556543210客户端IP端口:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
配置步骤
在LSN日志中包含MSISDN信息需要完成以下任务:
- 创建一个LSN日志配置文件.LSN日志配置文件包括日志订阅者ID参数,该参数指定是否在LSN配置的LSN日志中包含MSISDN信息。
- 绑定LSN日志配置文件到LSN配置的LSN组。通过设置日志配置名称参数为创建的LSN日志配置名称,将创建的LSN日志配置绑定到LSN配置的LSN组。与该LSN组的移动用户相关的所有LSN日志中都包含MSISDN信息。
使用CLI创建LSN日志配置文件
在命令提示符处,输入:
add lsn logprofile -logSubscriberID (ENABLED | DISABLED) show lsn logprofile 要通过使用CLI绑定一个LSN的日志配置文件应用到LSN基的NAT64 LSN配置的
在命令提示符处,输入:
bind lsn group -logProfileName show lsn group 示例配置
以NAT64 LSN配置为例,在LSN日志配置文件log - profile - msisdn -1中启用了日志用户ID参数。LOG-PROFILE-MSISDN-1绑定LSN组LSN- nat64 - group -1。MSISDN信息包含在移动订户连接的LSN会话和LSN映射日志中(在网络2001:DB8:5001::/96中)。
添加LSN logprofile LOG-PROFILE-MSISDN-1 -logSubscriberID启用做加法LSN客户LSN-NAT64-CLIENT-1完成绑定LSN客户LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001 :: / 96做加法LSN池LSN-NAT64-POOL-1完成绑定LSN池LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70做加法LSN ip6profile LSN-NAT64-PROFILE-1型NAT64 -natprefix 2001:DB8:300 :: / 96完成添加LSN组LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1完成绑定LSN组LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1完成绑定LSN组LSN-NAT64-GROUP-1 -logprofilename LOG-PROFILE-MSISDN-1完成<! - NeedCopy - >Compact Logging for Large Scale NAT
记录LSN信息是isp需要的重要功能之一,以满足法律要求,并能够在任何给定时间识别流量来源。这最终会产生大量的日志数据,要求isp进行大量投资来维护日志基础设施。
紧凑日志记录是一种通过使用涉及事件和协议名称的短代码的符号更改来减少日志大小的技术。例如,C代表client, SC代表session created, T代表TCP。紧凑的日志记录导致日志大小平均减少40%。
配置步骤
日志LSN信息的精简格式如下:
- 创建一个LSN日志配置文件。LSN日志配置文件包括log Compact参数,该参数指定是否以紧凑格式记录LSN配置的信息。
- 绑定LSN日志配置文件到LSN配置的LSN组。通过设置“日志配置名称”参数为创建的LSN日志配置名称,将创建的LSN日志配置绑定到LSN配置的LSN组。这个LSN组的所有会话和映射都以紧凑格式记录。
使用CLI创建LSN日志配置文件
在命令提示符处,输入:
add lsn logprofile -logCompact (ENABLED|DISABLED) show lsn logprofile 要通过使用CLI绑定一个LSN的日志配置文件应用到LSN基的LSN配置
在命令提示符处,输入:
bind lsn group -logProfileName show lsn group NAT64的配置示例:
添加LSN logprofile LOG-PROFILE-COMPACT-1 -logCompact启用做加法LSN客户LSN-NAT64-CLIENT-1完成绑定LSN客户LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001 :: / 96做加法LSN池LSN-NAT64-POOL-1完成绑定LSN池LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70做加法LSN ip6profile LSN-NAT64-PROFILE-1型NAT64 -natprefix 2001:DB8:300 :: / 96完成添加LSN组LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1完成绑定LSN组LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1完成绑定LSN组LSN-NAT64-GROUP-1 -logProfileName LOG-PROFILE-COMPACT-1完成<! - NeedCopy - >日志HTTP头信息
Citrix ADC设备可以记录正在使用Citrix ADC大规模NAT64功能的HTTP连接的请求头信息。HTTP请求报文可以记录的报头信息如下:
- HTTP请求的目的地URL
- HTTP HTTP请求中指定的方法
- HTTP请求中使用的HTTP版本
- 发送HTTP请求的用户的IPv6地址
isp可以使用HTTP头日志查看一组订阅者之间与HTTP协议相关的趋势。例如,ISP可以使用这一功能找出一组用户中最受欢迎的网站。
配置步骤
执行以下任务配置Citrix ADC设备以记录HTTP头信息:
- 创建HTTP头日志配置文件。HTTP头日志配置文件是HTTP头属性(例如,URL和HTTP方法)的集合,可以为日志启用或禁用这些属性。
- 将HTTP头绑定到大规模NAT64配置的LSN组。通过将HTTP头日志配置文件名称设置为创建的HTTP头日志配置文件的名称,将HTTP头日志配置文件绑定到LSN配置的LSN组。然后,Citrix ADC设备记录与LSN组相关的任何HTTP请求的HTTP头信息。一个HTTP头日志配置文件可以绑定多个LSN组,但一个LSN组只能有一个HTTP头日志配置文件。
要通过使用命令行界面创建HTTP报头的日志轮廓
在命令提示符处,输入:
add lsn httpphdrlogprofile < httpphdrlogprofilename > [-logURL (ENABLED | DISABLED)] [-logMethod (ENABLED | DISABLED)] [-logVersion (ENABLED | DISABLED)] [-logHost (ENABLED | DISABLED)] show lsn httpphdrlogprofile 使用命令行接口将HTTP头日志配置文件绑定到LSN组
在命令提示符处,输入:
绑定LSN group -httphdrlogprofilename show LSN group 示例配置
添加LSN httphdrlogprofile HTTP-HEADER-LOG-1完成附加LSN客户LSN-NAT64-CLIENT-1所做的一切绑定LSN客户LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001 :: / 96完成加载LSN池LSN-NAT64-POOL-1完成绑定LSN池LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70做加法LSN ip6profile LSN-NAT64-PROFILE-1型NAT64 -natprefix 2001:DB8:300 :: / 96做加法LSN组LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1完成绑定LSN组LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1 DONE绑定LSN组LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1完成<! - NeedCopy - >显示当前大规模NAT64会话信息
您可以显示当前的大规模NAT64会话,以检测Citrix ADC设备上任何不需要的或低效的会话。您可以根据选择参数显示全部或部分大规模NAT64会话。
请注意
当Citrix ADC设备上存在超过100万个大规模NAT64会话时,Citrix建议使用选择参数来显示选定的大规模NAT64会话,而不是全部显示。
通过使用命令行界面显示所有大规模NAT64会话
在命令提示符处,输入:
show lsn session -nattype NAT64 使用命令行显示有选择的大范围NAT64会话
在命令提示符处,输入:
show lsn session -nattype NAT64 [-network6 ] [-clientname ] [-natIP [-natPort ]] 显示NAT64大规模统计信息
您可以查看大规模NAT64模块的相关统计信息、性能评估和故障处理。显示所有大规模NAT64配置或某一特定大规模NAT64配置的统计信息摘要。统计计数器反映自Citrix ADC设备上次重新启动以来的事件。在重新启动Citrix ADC设备时,所有这些计数器都被重置为0。
使用命令行显示大规模NAT64的统计信息
在命令提示符处,输入:
Stat LSN nat64 使用命令行显示指定的NAT64大规模配置的统计信息
在命令提示符处,输入:
STAT LSN组<组名称> <! - NeedCopy - >清理大规模NAT64会话
您可以从Citrix ADC设备中删除任何不需要的或低效的大规模NAT64会话。设备立即释放为这些会话分配的资源(如NAT IP地址、端口和内存),使资源可以用于新的会话。该设备还将删除与这些已删除会话相关的所有后续包。您可以从Citrix ADC设备中删除所有或选定的大规模NAT64会话。
使用命令行清除所有大规模NAT64会话
在命令提示符处,输入:
冲洗LSN会议-nattype NAT64显示LSN会议-nattype NAT64 <! - NeedCopy - >使用命令行清除NAT64会话
在命令提示符处,输入:
刷新lsn session -nattype NAT64 [-network6 ] [-clientname ] [-natIP [-natPort ]]——NeedCopy > 示例配置:
清除Citrix ADC设备上存在的所有大规模NAT64会话
冲洗LSN会议-nattype NAT64完成<! - NeedCopy - >清除所有与客户端实体LSN-NAT64-CLIENT-1相关的大规模NAT64会话
flush lsn session -nattype NAT64 -clientname lsn -NAT64- client -1 Done 清除所有大规模NAT64与用户网络会议(2001:DB8:5001 :: / 96)LSN用户实体LSN-NAT64-CLIENT-2
flush lsn session -nattype NAT64 -network6 2001:DB8:5001::/96——NeedCopy >IPFIX日志
思杰ADC设备支持发送有关Internet协议流信息导出(IPFIX)格式的配置设置IPFIX收集器(S)的LSN事件的信息。该设备使用现有的AppFlow功能在IPFIX格式发送LSN事件到IPFIX收集器。
以下NAT64相关事件可通过IPFIX进行日志记录:
- 创建或LSN会话的缺失。
- 创建或删除LSN映射项。
- 在确定性NAT上下文中分配或解除分配端口块。
- 分配或动态NAT的上下文端口块的解除分配。
- 当超过订阅者会话限额时。
要考虑的问题,然后配置IPFIX记录
在开始配置IPSec ALG之前,需要考虑以下几点:
- 您必须配置在Citrix ADC设备的AppFlow功能和IPFIX收集器(S)。有关说明,请参阅配置AppFlow特性.
配置步骤
以IPFIX格式记录LSN信息,需要完成以下任务:
- 在AppFlow配置中启用LSN日志记录.在AppFlow配置中启用LSN日志记录参数。
- 创建一个LSN日志配置文件.LSN日志配置文件包含IPFIX参数,用于启用或禁用IPFIX格式的日志信息。
- 绑定LSN日志配置文件到LSN配置的LSN组.将LSN日志配置文件绑定到一个或多个LSN组。与绑定LSN组相关的事件将以IPFIX格式记录。
使用CLI在AppFlow配置中启用LSN日志记录
在命令提示符处,输入:
设置appflow PARAM -lsnLogging(启用|禁用)显示appflow PARAM <! - NeedCopy - >要通过使用CLIAt命令提示符创建LSN日志配置文件,输入
在命令提示符处,输入:
set lsn logprofile -logipfix (ENABLED | DISABLED) show lsn logprofile 使用CLI将LSN日志配置文件绑定到LSN配置的LSN组
在命令提示符处,输入:
bind lsn group -logProfileName show lsn group 使用GUI创建LSN日志配置文件
导航到系统>大规模的NAT>配置文件, 点击日志选项卡,然后添加一个日志配置文件。
使用GUI将LSN日志配置文件绑定到LSN配置的LSN组
- 导航到系统>大规模的NAT>LSN集团,打开LSN组。
- 在高级设置,点击+日志配置文件将创建的Log配置文件绑定到LSN组。