Suivi des paquets d’un cluster Citrix ADC

Le système d’exploitation Citrix ADC fournit un utilitaire appeléns tracepour obtenir un vidage des paquets reçus et envoyés par une appliance. L’utilitaire stocke les paquets dans des fichiers de suivi. Vous pouvez utiliser ces fichiers pour déboguer des problèmes dans le flux de paquets vers les nœuds de cluster. Les fichiers de suivi doivent être affichés avec l’application Wireshark.

Certains aspects saillants de l’utilitaire ns trace sont les suivants :

• Peut être configuré pour tracer les paquets de manière sélective à l’aide d’expressions classiques et d’expressions par défaut.
• 我们可以捕获者拉跟踪在几个格式:nstrace format (.cap) et format de vidage TCP (.pcap).
• Peut agréger les fichiers de trace de tous les nœuds de cluster sur le coordinateur de configuration.
• Peut fusionner plusieurs fichiers de trace en un seul fichier de trace (uniquement pour les fichiers .cap).

Vous pouvez utiliser l’utilitaire de trace ns à partir de la ligne de commande Citrix ADC ou du shell Citrix ADC.

Pour suivre les paquets d’une appliance autonome

Exécutez la commande start ns trace sur l’appliance. La commande crée des fichiers de trace dans le répertoire /var/nstrace/. Les noms des fichiers de trace sont de la forme nstrace.cap.

你们可以显示我en la comman执行者de show ns trace. Vous pouvez arrêter le suivi des paquets en exécutant la commande stop ns trace.

Remarque

Vous pouvez également exécuter l’utilitaire de trace ns à partir du shell Citrix ADC en exécutant le fichier nstrace.sh. Toutefois, il est recommandé d’utiliser l’utilitaire de trace ns via l’interface de ligne de commande Citrix ADC.

Pour suivre les paquets d’un cluster

Vous pouvez suivre les paquets sur tous les nœuds de cluster et obtenir tous les fichiers de trace sur le coordinateur de configuration.

Exécutez la commande start ns trace sur l’adresse IP du cluster. La commande est propagée et exécutée sur tous les nœuds du cluster. Les fichiers de trace sont stockés dans des nœuds de cluster individuels dans le répertoire /var/nstrace/. Les noms des fichiers de trace sont de la forme nstrace_node.cap.

Vous pouvez utiliser les fichiers de trace de chaque nœud pour déboguer les opérations des nœuds. Mais si vous voulez que les fichiers de trace de tous les nœuds de cluster se trouvent dans un seul emplacement, vous devez exécuter la commande stop ns trace sur l’adresse IP du cluster. Les fichiers de trace de tous les nœuds sont téléchargés sur le coordinateur de configuration du cluster dans le répertoire /var/nstrace/comme suit :

Fusionner plusieurs fichiers de trace

Vous pouvez préparer un fichier unique à partir des fichiers de trace (pris en charge uniquement pour. Fichiers Cap) obtenus à partir des nœuds de cluster. Les fichiers de trace uniques vous donnent une vue cumulative de la trace des paquets de cluster. Les entrées de suivi dans le fichier de suivi unique sont triées en fonction de l’heure à laquelle les paquets ont été reçus sur le cluster.

Pour fusionner les fichiers de trace, dans le shell Citrix ADC, tapez :

> nstracemerge.sh -srcdir \ -dstdir \ -filename \ -filesize \

Où,

• srcdirest le répertoire à partir duquel les fichiers de trace sont fusionnés. Tous les fichiers de suivi de ce répertoire sont fusionnés en un seul fichier.
• dstdirest le répertoire où le fichier de trace fusionné est créé.
• Filenameest le nom du fichier de trace qui est créé.
• Filesizeest la taille du fichier de trace.

Exemples

Voici quelques exemples d’utilisation de l’utilitaire de trace ns pour filtrer les paquets.

• Pour suivre les paquets sur les interfaces de backplane de trois nœuds :

  Utilisation d’expressions classiques :

  > start nstrace -filter "INTF == 0/1/1 && INTF == 1/1/1 && INTF == 2/1/1"

  Utilisation des expressions par défaut :

  > start nstrace -filter "CONNECTION.INTF.EQ("0/1/1") && CONNECTION.INTF.EQ("1/1/1") && CONNECTION.INTF.EQ("2/1/1")"

• Pour suivre les paquets à partir d’une adresse IP source 10.102.34.201 ou d’un système dont le port source est supérieur à 80 et le nom de service n’est pas “s1” :

  Utilisation d’expressions classiques

  > start nstrace -filter "SOURCEIP == 10.102.34.201 || (SVCNAME != s1 && SOURCEPORT > 80)"

  Utilisation d’expressions par défaut

  > start nstrace -filter "CONNECTION.SRCIP.EQ(10.102.34.201) || (CONNECTION.SVCNAME.NE("s1") && CONNECTION.SRCPORT.GT(80))"

Remarque

Pour plus d’informations sur les filtres utilisés dans ns trace, voirns trace.

Capture des clés de session SSL lors d’une trace

Lorsque vous exécutez la commande « start ns trace », vous pouvez définir le nouveaucapsslkeys量把捕获者les cl螯SSL pour toutes les sessions SSL. Si vous incluez ce paramètre, un fichier nommé nstrace.sslkeys est généré avec la trace des paquets. Ce fichier peut être importé dans Wireshark pour déchiffrer le trafic SSL dans le fichier de trace correspondant.

Cette fonctionnalité est similaire aux navigateurs Web qui exportent des clés de session qui peuvent ultérieurement être importées dans Wireshark pour décrypter le trafic SSL.

Avantages de l’utilisation des clés de session SSL

Voici les avantages de l’utilisation des clés de session SSL :

1. Génère des fichiers de trace plus petits qui n’incluent pas les paquets supplémentaires créés par le mode SSLPLAIN de capture.
2. Permet d’afficher le texte brut [SP (1] à partir de la trace et de choisir de partager le fichier des clés principales ou de protéger les données sensibles en ne le partageant pas.

Limitations de l’utilisation des clés de session SSL

Voici les limites de l’utilisation des clés de session SSL :

1. Les sessions SSL ne peuvent pas être déchiffrées si les paquets initiaux de la session ne sont pas capturés.
2. Les sessions SSL ne peuvent pas être capturées si le mode FIPS (Federal Information Processing Standard) est activé.

Pour capturer les clés de session SSL à l’aide de l’interface de ligne de commande (CLI)

À l’invite de commandes, tapez les commandes suivantes pour activer ou désactiver les clés de session SSL dans un fichier de suivi et vérifier l’opération de suivi.

> start nstrace -capsslkeys ENABLED > show nstrace Example > start nstrace -capsslkeys ENABLED > show nstrace State: RUNNING Scope: LOCAL TraceLocation: "/var/nstrace/04May2016_17_51_54/..." Nf: 24 Time: 3600 Size: 164 Mode: TXB NEW_RX Traceformat: NSCAP PerNIC: DISABLED FileName: 04May2016_17_51_54 Link: DISABLED Merge: ONSTOP Doruntimecleanup: ENABLED TraceBuffers: 5000 SkipRPC: DISABLED SkipLocalSSH: DISABLED Capsslkeys: ENABLED InMemoryTrace: DISABLED Done

Pour configurer les clés de session SSL à l’aide de l’interface graphique Citrix ADC

1. Accédez àConfiguration > Système > Diagnostics > Outils de support techniqueet cliquez surDémarrer une nouvelle tracepour démarrer le suivi des paquets chiffrés sur une appliance.
2. Dans la pageDémarrer le suivi, activez la case à cocherCapturer les clés principales SSL.
3. Cliquez surOKetTerminé.

Pour importer les clés principales SSL dans Wireshark

Dans l’interface graphique Wireshark, accédez àEdition > Préférences > Protocoles > SSL > (Pre) -Master-Secret nom du fichier journalet spécifiez les fichiers de clé principale obtenus à partir de l’appliance.