日志记录和监视大型nat64
您可以记录大型nat64信息,以诊断和解决问题,并满足法律要求。您可以通过使用统计计数器并显示相关的当前会话来监视大型nat64部署的性能。
采伐大型nat64
Isp需要记录大型nat64信息,以满足法律要求并在任何给定时间识别流量来源。
大型nat64映射条目的日志消息包含以下信息:
- Citrix ADC拥有的IP地址(NSIP地址或SNIP地址),日志消息源自该地址。
- 时间戳。
- 条目类型(映射)。
- 映射条目是创建还是删除。
- 订阅者的IP地址,端口和流量域id。
- NAT IP地址和端口。
- 协议名称。
- 可能存在目标IP地址,端口和流量域id,具体取决于以下条件:
- 不记录与端点点无关的映射的目标IP地址地址和端口。
- 仅记录目标IP地址地址以进行与地址相关的映射。端口未记录。
- 将记录目标IP地址和端口,以便与地址端口相关的映射。
大型nat64会话的日志消息包含以下信息:
- Citrix ADC拥有的IP地址(NSIP地址或剪断地址),其中日志消息源自该地址
- 时间戳
- 输入类型(会话)
- 会话是否已创建或删除
- 订阅者的IP地址,端口和流量域id
- NAT IP地址和端口
- 协议名称
- 目标IP地址,端口和流量域id
下表显示了已配置日志服务器上存储的每种类型的大型nat64日志条目示例。日志条目显示 IPv6 地址为 2001:db8:5001::9 的订阅者已于 2016 年 4 月 7 日 14:07:57 GMT 到 14:10:59 GMT 通过 NAT IP:端口 203.0.113.63:45195 连接到目标 IP:端口 23.0.0.1:80。
| 日志条目类型 | 示例日志条目 |
|---|---|
| 会话创建 | 04/07/2016:14:07:57 GMT信息0- ppe -10:默认LSN LSN_SESSION 5532 0: SESSION CREATED客户端IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
| 映射创建 | 04/07/2016:14:07:57 GMT信息0- ppp -10: default LSN LSN_ADDR_MAPPING 5533 0: ADM CREATED客户端IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:TD 23.0.0.1:80,协议:TCP |
| 会话删除 | 04/07/2016:14:10:59 GMT 0- ppe -10:默认LSN LSN_SESSION 25012 0: SESSION DELETED客户端IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
| 映射删除 | 04/07/2016:14:10:59 GMT 0- ppp -10: default LSN LSN_ADDR_MAPPING 25013 0: ADM DELETED Client IP-Port:TD2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
配置步骤
您可以通过设置LSN组的日志记录和会话日志记录参数,为大型NAT64配置配置大型NAT64信息的日志记录。这些是组级别参数,默认情况下处于禁用状态。仅当同时启用日志记录和会话日志记录参数时,Citrix ADC设备才会记录LSN组的大型NAT64会话。
下表显示了针对日志记录和会话日志记录参数的各种设置的LSN组的日志记录行为。
| 日志记录 | 会话日志记录 | 日志记录行为 |
|---|---|---|
| 已启用 | 已启用 | 记录LSN映射条目以及LSN会话 |
| 已启用 | 已禁用 | 记录LSN映射条目但不记录LSN会话 |
| 已禁用 | 已启用 | 既不记录映射条目也不记录LSN会话 |
使用cli记录大型nat64信息
要在添加LSN组时设置日志记录和会话日志记录参数,请在命令提示符下键入:
add lsn group -clientname [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)] show lsn group 要为现有LSN组设置日志记录和会话日志记录参数,请在命令提示符下键入:
set lsn group [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)] show lsn group 示例配置
在这个大型NAT64配置的示例中,为LSN-NAT64-GrouP-1启用了日志记录和会话日志记录参数。
Citrix ADC设备记录大型NAT64会话和来自订阅服务器的连接的映射信息(在网络2001:DB8:5001:: / 96中)。
示例配置:
添加lsn客户机LSN-NAT64-CLIENT-1完成绑定完成lsn客户机LSN-NAT64-CLIENT-1 -network6 2001: DB8:5001:: / 96完成添加lsn池LSN-NAT64-POOL-1做绑定lsn池LSN-NAT64-POOL-1 203.0.113.61——203.0.113.70完成添加lsn ip6profile LSN-NAT64-PROFILE-1类型NAT64 -natprefix 2001: DB8:300:: / 96完成添加lsn组LSN-NAT64-GROUP-1列出LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1日志启用-sessionLogging启用完成绑定lsn集团LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1做< !——NeedCopy >大型nat64记录msisdn信息
移动站综合用户目录号码(msisdn)是一个电话号码,唯一标识跨多个移动网络的用户。Msisdn与一个国家/地区代码和一个国家/地区代码相关联,标识用户的运营商。
您可以将Citrix ADC设备配置为在移动网络中用户的大规模NAT64 LSN日志条目中包含MSISDNN。LSN日志中存在msisdn有助于对违反政策或法律或合法拦截机构要求的移动用户进行更快,准确的回溯追踪。
以下示例LSN日志条目包括LSN配置中的移动订阅服务器连接的msisdn信息。日志条目显示 MSISDN 为 E164:5556543210、IPv6 地址为 2001:db8:5001::9 的移动订阅者已于 2016 年 4 月 7 日 14:07:57 GMT 到 14:10:59 GMT 通过 NAT IP:端口 203.0.113.63:45195 连接到目标 IP:端口 23.0.0.1:80。
| 日志条目类型 | 示例日志条目 |
|---|---|
| 会话创建 | 04/07/2016:14:07:57 GMT信息0- ppe -10:默认LSN LSN_SESSION 5532 0:会话已创建E164:5556543210客户端ip端口:道明2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
| 映射创建 | 04/07/2016:14:07:57 GMT信息0- ppe -10:默认LSN LSN_ADDR_MAPPING 5533 0: ADM已创建E164:5556543210客户端ip端口:道明2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:TD 23.0.0.1:80,协议:TCP |
| 会话删除 | 04/07/2016:14:10:59 GMT 0- ppe -10:默认LSN LSN_SESSION 25012 0:会话已删除E164:5556543210客户端ip端口:道明2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
| 映射删除 | 04/07/2016:14:10:59 GMT 0- ppe -10: default LSN LSN_ADDR_MAPPING 25013 0: ADM DELETEDE164:5556543210客户端ip端口:道明2001: db8:5001:: 9-34937:0, NatIP:NatPort 203.0.113.63:45195,目的IP:端口:TD 23.0.0.1:0:80,协议:TCP |
配置步骤
执行以下任务,以便在LSN日志中包括msisdn信息:
- 创建LSN日志配置文件。LSN日志配置文件包括日志订阅者ID参数,该参数指定是否在LSN配置的LSN日志中包含MSISDN信息。
- 将LSN日志配置文件绑定到LSN配置的LSN组。通过将日志配置文件名称参数设置为创建的LSN日志配置文件名称,将创建的LSN日志配置文件绑定到LSN配置的LSN组。Msisdn信息包含在与此LSN组的移动用户相关的所有LSN日志中。
使用cli创建LSN日志配置文件
在命令提示符下,键入:
add lsn logprofile -logSubscriberID (ENABLED | DISABLED) show lsn logprofile 使用cli将LSN日志配置文件绑定到nat64 LSN配置的LSN组
在命令提示符下,键入:
绑定lsn group -logProfileName show lsn group 示例配置
在NAT64 LSN配置的此示例中,LSN日志配置文件LOG-PROFILE-MSISDN-1已启用日志订阅者ID参数。Log-profile-msisdn-1绑定到LSN组LSN- nat64 - group -1。MSISDN信息包含在LSN会话和LSN映射日志中,用于来自移动用户的连接(网络2001:DB8:5001:: / 96)。
添加lsn logprofile LOG-PROFILE-MSISDN-1 -logSubscriberID启用完成添加lsn客户机LSN-NAT64-CLIENT-1做绑定lsn客户机LSN-NAT64-CLIENT-1 -network6 2001: DB8:5001:: / 96完成添加lsn池LSN-NAT64-POOL-1做绑定lsn池LSN-NAT64-POOL-1 203.0.113.61——203.0.113.70完成添加lsn ip6profile LSN-NAT64-PROFILE-1类型NAT64 -natprefix 2001: DB8:300:: / 96完成添加lsn组LSN-NAT64-GROUP-1列出LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1绑定lsn LSN-NAT64-GROUP-1小组完成的-poolname lsn - nat64 -pool -1 Done bind lsn group -logprofilename LOG-PROFILE-MSISDN-1 Done 适用于大型NAT的紧凑日志记录
记录LSN信息是isp满足法律要求并能够在任何给定时间识别流量源所需的重要功能之一。这最终导致大量的日志数据,需要isp进行大量投资来维护日志基础设施。
紧凑日志记录是一种通过使用涉及事件和协议名称短代码的标注更改来减小日志大小的技术。例如,c代表客户端,sc代表创建的会话,t代表tcp。紧凑的日志记录导致日志大小平均减少 40%。
配置步骤
执行以下任务以紧凑格式记录LSN信息:
- 创建LSN日志配置文件。LSN日志配置文件包括日志压缩参数,该参数指定是否以紧凑格式记录 LSN 配置的信息。
- 将lsn日志配置文件绑定到lsn配置的lsn组。通过将日志配置文件名称参数设置为创建的LSN日志配置文件名称,将创建的LSN日志配置文件绑定到LSN配置的LSN组。此LSN组的所有会话和映射都以紧凑格式记录。
使用cli创建LSN日志配置文件
在命令提示符下,键入:
add lsn logprofile -logCompact (ENABLED|DISABLED) show lsn logprofile 使用cli将LSN日志配置文件绑定到LSN配置的LSN组
在命令提示符下,键入:
绑定lsn group -logProfileName show lsn group Nat64的示例配置:
添加lsn logprofile LOG-PROFILE-COMPACT-1 -logCompact启用完成添加lsn客户机LSN-NAT64-CLIENT-1做绑定lsn客户机LSN-NAT64-CLIENT-1 -network6 2001: DB8:5001:: / 96完成添加lsn池LSN-NAT64-POOL-1做绑定lsn池LSN-NAT64-POOL-1 203.0.113.61——203.0.113.70完成添加lsn ip6profile LSN-NAT64-PROFILE-1类型NAT64 -natprefix 2001: DB8:300:: / 96完成添加lsn组LSN-NAT64-PROFILE-1列出LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1绑定lsn LSN-NAT64-GROUP-1小组完成的-poolname lsn - nat64 -pool -1 Done bind lsn group——NeedCopy >日志HTTP标头信息
Citrix ADC设备可以记录使用Citrix ADC大型NAT64功能的HTTP连接的请求标头信息。可以记录HTTP请求数据包的以下标头信息:
- HTTP请求注定到的url
- HTTP请求中指定的HTTP方法
- HTTP请求中使用的HTTP版本
- 发送HTTP请求的订阅者的IPv6地址
Isp可以使用HTTP标头日志查看一组订阅者之间与HTTP协议相关的趋势。例如,isp可以使用此功能找出一组订阅者中最受欢迎的网站。
配置步骤
执行以下任务以配置Citrix ADC设备以记录HTTP标头信息:
- 创建HTTP标头日志配置文件。HTTP标头日志配置文件是HTTP标头属性(例如,HTTP URL和方法)的集合,可以启用或禁用以进行日志记录。
- 将HTTP标头绑定到大型nat64配置的LSN组。通过将HTTP标头日志配置文件名称参数设置为创建的HTTP标头日志配置文件的名称,将HTTP标头日志配置文件绑定到LSN配置的LSN组。然后,Citrix ADC设备会记录与LSN组相关的任何HTTP请求的HTTP标头信息。HTTP标头日志配置文件可以绑定到多个LSN组,但LSN组只能有一个HTTP标头日志配置文件。
使用命令行界面创建HTTP标头日志配置文件
在命令提示符下,键入:
add lsn httphdrlogprofile [-logURL (ENABLED | DISABLED)] [-logMethod (ENABLED | DISABLED)] [-logVersion (ENABLED | DISABLED)] [-logHost (ENABLED | DISABLED)] show lsn httphdrlogprofile 使用命令行界面将HTTP标头日志配置文件绑定到LSN组
在命令提示符下,键入:
绑定LSN组 -httphdrlogprofilename show LSN组 示例配置
添加lsn httphdrlogprofile HTTP-HEADER-LOG-1完成添加lsn客户机LSN-NAT64-CLIENT-1完成绑定完成lsn客户机LSN-NAT64-CLIENT-1 -network6 2001: DB8:5001:: / 96完成添加lsn池LSN-NAT64-POOL-1做绑定lsn池LSN-NAT64-POOL-1 203.0.113.61——203.0.113.70完成添加lsn ip6profile LSN-NAT64-PROFILE-1类型NAT64 -natprefix 2001: DB8:300:: / 96完成添加lsn组LSN-NAT64-GROUP-1列出LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1完成绑定lsn集团LSN-NAT64-GROUP-1 -poolnamelsn - nat64 - group -1 -httphdrlogprofilename HTTP-HEADER-LOG-1 Done 显示当前大型nat64会话
您可以显示当前大型NAT64会话,以检测Citrix ADC设备上的任何不需要或低效会话。您可以根据选择参数显示全部或部分大型nat64会话。
注意
如果Citrix ADC设备上存在超过一百万个大型NAT64会话,Citrix建议使用选择参数来显示选定的大型NAT64会话,而不是显示所有会话。
使用命令行界面显示所有大型nat64会话
在命令提示符下,键入:
show lsn session - NAT64 使用命令行界面显示选择性的大型nat64会话
在命令提示符下,键入:
show lsn session -nattype NAT64 [-network6 ] [-clientname ] [-natIP [-natPort ]] 显示大型nat64统计信息
您可以显示与大型nat64模块相关的统计信息,并评估其性能或排除问题。您可以显示所有大型nat64配置或特定大型nat64配置的统计信息摘要。统计计数器反映上次重新启动Citrix ADC设备后的事件。重新启动Citrix ADC设备时,所有这些计数器都将重置为0。
使用命令行界面显示大型nat64的总统计信息
在命令提示符下,键入:
Stat LSN nat64 使用命令行界面显示指定的大型nat64配置的统计信息
在命令提示符下,键入:
统计LSN组 清除大型nat64会话
您可以从Citrix ADC设备中移除任何不需要或低效率的大型NAT64会话。设备立即释放为这些会话分配的资源(如NAT IP地址,端口和内存),从而使资源可用于新会话。设备还会删除与这些已删除会话相关的所有后续数据包。您可以从Citrix ADC设备中删除所有或选定的大型NAT64会话。
使用命令行界面清除所有大型nat64会话
在命令提示符下,键入:
显示lsn session - NAT64 使用命令行界面清除选择性的大型nat64会话
在命令提示符下,键入:
flush lsn session -nattype NAT64 [-network6 ] [-clientname ] [-natIP [-natPort ]] show lsn session -nattype NAT64 [-network6 ] [-clientname ] [-natIP [-natPort ]] 示例配置:
清除Citrix ADC设备上现有的所有大型NAT64会话
flush lsn session -nattype NAT64 Done 清除与客户端实体lsn-nat64客户端-1相关的所有大型nat64会话
flush lsn session -NAT64- client -1 Done 清除与LSN客户端实体LSN-NAT64-CLIENT-2的订阅者网络(2001:DB8:5001:: / 96)相关的所有大型NAT64会话
flush lsn -NAT64 -network6 2001:DB8:5001::/96 -clientname lsn -NAT64- client -2 Done Ipfix日志记录
Citrix ADC设备支持以互联网协议流信息导出(IPFIX)格式将有关LSN事件的信息发送到配置的IPFIX收集器集。设备使用现有的演示applow功能以IPFIX格式将LSN事件发送到IPFIX收集器。
基于ipfix的日志记录可用于以下nat64相关事件:
- 创建或删除LSN会话。
- 创建或删除LSN映射条目。
- 在确定性NAT上下文中分配或取消分配端口块。
- 在动态NAT上下文中分配或取消分配端口块。
- 每当超过订阅者会话配额时。
配置ipfix日志记录之前要考虑的事项
在开始配置IPsec ALG之前,请考虑以下几点:
- 必须在Citrix ADC设备上配置AppFlow功能和IPFIX收集器。有关说明,请参阅配置AppFlow功能。
配置步骤
执行以下任务以ipfix格式记录LSN信息:
- 在AppFlow配置中启用LSN日志记录。启用LSN日志记录参数作为AppFlow配置的一部分。
- 创建LSN日志配置文件。LSN日志配置文件包括ipfix参数,用于启用或禁用ipfix格式的日志信息。
- 将LSN日志配置文件绑定到LSN配置的LSN组。将LSN日志配置文件绑定到一个或多个 LSN 组。与绑定 LSN 组相关的事件将以 IPFIX 格式记录。
使用CLI在AppFlow配置中启用LSN日志记录
在命令提示符下,键入:
设置appflow参数-lsnLogging (ENABLED | DISABLED)显示appflow参数若要使用命令提示符创建LSN日志配置文件,请键入
在命令提示符下,键入:
set lsn logprofile - loggipfix (ENABLED | DISABLED) show lsn logprofile 使用cli将LSN日志配置文件绑定到LSN配置的LSN组
在命令提示符下,键入:
绑定lsn group -logProfileName show lsn group 使用GUI创建LSN日志配置文件
导航到”系统“>”大规模NAT“>”配置文件",单击"日志选项卡,然后添加日志配置文件。
使用GUI界面将LSN日志配置文件绑定到LSN配置的LSN组
- 导航到系统>大型NAT>LSN组,打开LSN组。
- 在高级设置中,单击+ 日志配置文件将创建的日志配置文件绑定到LSN组。