Protokollierung und Überwachung DS-Lite
Sie können DS-Lite-Informationen protokollieren, um Probleme zu diagnostizieren oder zu beheben und gesetzliche Anforderungen zu erfüllen. Die NetScaler Appliance unterstützt alle LSN-Protokollierungsfunktionen für die Protokollierung von DS-Lite-Informationen. Verwenden Sie zum Konfigurieren der DS-Lite-Protokollierung die unter Logging and Monitoring LSN beschriebenen Verfahren zum Konfigurieren der LSN-Protokollierung.
Eine Protokollmeldung für einen DS-Lite LSN-Zuordnungseintrag besteht aus folgenden Informationen:
- NetScaler-eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt
- Zeitstempel
- Art des Eintrags (MAPPING)
- Ob der DS-Lite LSN-Mapping-Eintrag erstellt oder gelöscht wurde
- IPv6-Adresse von B4
- IP-Adresse, Port und Domain-ID des Abonnenten
- NAT-IP-Adresse und Port
- Name des Protokolls
- Abhängig von den folgenden Bedingungen können Ziel-IP-Adresse, Port und Verkehrsdomänen-ID vorhanden sein:
- Ziel-IP-Adresse und Port werden für die endpunktunabhängige Zuordnung nicht protokolliert.
- Für die adressabhängige Zuordnung wird nur die Ziel-IP-Adresse protokolliert. Der Port wird nicht protokolliert.
- Die Ziel-IP-Adresse und der Port werden für die adressportabhängige Zuordnung protokolliert.
Eine Lognachricht für eine DS-Lite-Sitzung besteht aus den folgenden Informationen:
- NetScaler-eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt
- Zeitstempel
- Art des Eintrags (SESSION)
- Ob die DS-Lite-Sitzung erstellt oder entfernt wurde
- IPv6-Adresse von B4
- IP-Adresse, Port und Domain-ID des Abonnenten
- NAT-IP-Adresse und Port
- Name des Protokolls
- Ziel-IP-Adresse, Port und Traffic-Domain-ID
Die folgende Tabelle zeigt Beispiele für DS-Lite-Protokolleinträge der einzelnen Typen, die auf den konfigurierten Protokollservern gespeichert sind. Diese Protokolleinträge werden von einer NetScaler-Appliance generiert, deren NSIP-Adresse 10.102.37.115 lautet. Sie können DS-Lite-Informationen protokollieren, um Probleme zu diagnostizieren oder zu beheben und gesetzliche Anforderungen zu erfüllen. Die NetScaler Appliance unterstützt alle LSN-Protokollierungsfunktionen für die Protokollierung von DS-Lite-Informationen. Verwenden Sie zum Konfigurieren der DS-Lite-Protokollierung die unter Logging and Monitoring LSN beschriebenen Verfahren zum Konfigurieren der LSN-Protokollierung.
Eine Protokollmeldung für einen DS-Lite LSN-Zuordnungseintrag besteht aus folgenden Informationen:
- NetScaler-eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt
- Zeitstempel
- Art des Eintrags (MAPPING)
- Ob der DS-Lite LSN-Mapping-Eintrag erstellt oder gelöscht wurde
- IPv6-Adresse von B4
- IP-Adresse, Port und Domain-ID des Abonnenten
- NAT-IP-Adresse und Port
- Name des Protokolls
- Abhängig von den folgenden Bedingungen können Ziel-IP-Adresse, Port und Verkehrsdomänen-ID vorhanden sein:
- Ziel-IP-Adresse und Port werden für die endpunktunabhängige Zuordnung nicht protokolliert.
- Für die adressabhängige Zuordnung wird nur die Ziel-IP-Adresse protokolliert. Der Port wird nicht protokolliert.
- Die Ziel-IP-Adresse und der Port werden für die adressportabhängige Zuordnung protokolliert.
Eine Lognachricht für eine DS-Lite-Sitzung besteht aus den folgenden Informationen:
- NetScaler-eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt
- Zeitstempel
- Art des Eintrags (SESSION)
- Ob die DS-Lite-Sitzung erstellt oder entfernt wurde
- IPv6-Adresse von B4
- IP-Adresse, Port und Domain-ID des Abonnenten
- NAT-IP-Adresse und Port
- Name des Protokolls
- Ziel-IP-Adresse, Port und Traffic-Domain-ID
Die folgende Tabelle zeigt Beispiele für DS-Lite-Protokolleinträge der einzelnen Typen, die auf den konfigurierten Protokollservern gespeichert sind. Diese Protokolleinträge werden von einer NetScaler-Appliance generiert, deren NSIP-Adresse 10.102.37.115 ist.
Typ des LSN-Protokolleintrags | Beispiel für einen Logeintrag |
DS-Lite-Sitzungserstellung | Local4.Informational 10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP |
Löschen einer DS-Lite-Sitzung | Local4.Informational 10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP |
DS-Lite LSN-Mapping-Erstellung | Local4.Informational 10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Löschen der DS-Lite-LSN-Zuordnung | Local4.Informational 10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
Aktuelle DS-Lite-Sessions anzeigen
Sie können die aktuellen DS-Lite-Sitzungen anzeigen, um unerwünschte oder ineffiziente Sitzungen auf der NetScaler-Appliance zu erkennen. Sie können alle oder einige DS-Lite-Sitzungen auf der Grundlage von Auswahlparametern anzeigen.
Um alle DS-Lite-Sessions mithilfe der Befehlszeilenschnittstelle anzuzeigen
Geben Sie in der Befehlszeile Folgendes ein:
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Um ausgewählte DS-Lite-Sitzungen mithilfe der Befehlszeilenschnittstelle anzuzeigen
Geben Sie in der Befehlszeile Folgendes ein:
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
In der folgenden Beispielausgabe werden alle DS-Lite-Sitzungen angezeigt, die auf einer NetScaler-Appliance vorhanden sind:
lsn-Sitzung anzeigen —nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
Konfiguration mit dem Configuration Utility
Um alle oder ausgewählte DS-Lite-Sessions mithilfe des Konfigurationsdienstprogramms anzuzeigen
- Navigieren Sie zu System > Large Scale NAT > Sessionsund klicken Sie auf die Registerkarte DS-Lite .
- Um DS-Lite-Sitzungen auf der Grundlage von Auswahlparametern anzuzeigen, klicken Sie auf Suchen.
DS-Lite-Sitzungen löschen
Sie können alle unerwünschten oder ineffizienten DS-Lite-Sitzungen aus der NetScaler-Appliance entfernen. Die Appliance gibt sofort die für diese Sitzungen zugewiesenen Ressourcen (wie NAT-IP-Adresse, Port und Speicher) frei, sodass die Ressourcen für neue Sitzungen verfügbar sind. Die Appliance verwirft auch alle nachfolgenden Pakete, die sich auf diese entfernten Sitzungen beziehen. Sie können alle oder ausgewählte DS-Lite-Sitzungen von der NetScaler-Appliance entfernen.
So löschen Sie alle DS-Lite-Sitzungen mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
<!--NeedCopy-->
So löschen Sie ausgewählte DS-Lite-Sitzungen mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
So löschen Sie alle oder ausgewählte DS-Lite-Sitzungen mithilfe des Konfigurationsdienstprogramms
- Navigieren Sie zu System > Large Scale NAT > Sessionsund klicken Sie auf die Registerkarte DS-Lite .
- Klicken Sie auf Sitzungen leeren.
Loggen von HTTP-Header-Informationen
Die NetScaler-Appliance kann Anforderungsheaderinformationen einer HTTP-Verbindung protokollieren, die die DS-Lite-Funktionalität verwendet. Die folgenden Header-Informationen eines HTTP-Anforderungspakets können protokolliert werden:
- URL, für die die HTTP-Anfrage bestimmt ist
- In der HTTP-Anfrage angegebene HTTP-Methode
- In der HTTP-Anfrage verwendete HTTP-Version
- IPv4-Adresse des Abonnenten, der die HTTP-Anfrage gesendet hat
Die HTTP-Header-Logs können von ISPs verwendet werden, um die Trends im Zusammenhang mit dem HTTP-Protokoll bei einer Gruppe von Abonnenten zu ermitteln. Ein ISP kann diese Funktion beispielsweise verwenden, um die beliebteste Website unter einer Gruppe von Abonnenten herauszufinden.
Konfigurationsschritte
Führen Sie die folgenden Aufgaben aus, um die NetScaler-Appliance für die Protokollierung von HTTP-Header-Informationen zu konfigurieren:
- Erstellen Sie ein HTTP-Header-Logprofil. Ein HTTP-Header-Logprofil ist eine Sammlung von HTTP-Header-Attributen (z. B. URL und HTTP-Methode), die für die Protokollierung aktiviert oder deaktiviert werden können.
- Binden Sie den HTTP-Header an eine LSN-Gruppe einer DS-Lite-LSN-Konfiguration. Binden Sie das HTTP-Header-Logprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den Parameter für den Namen des HTTP-Header-Logprofils auf den Namen des erstellten HTTP-Header-Logprofils setzen. Die NetScaler-Appliance protokolliert dann die HTTP-Header-Informationen aller HTTP-Anfragen, die sich auf die LSN-Gruppe beziehen. Ein HTTP-Header-Logprofil kann an mehrere LSN-Gruppen gebunden werden, aber eine LSN-Gruppe kann nur ein HTTP-Header-Logprofil haben.
So erstellen Sie ein HTTP-Header-Logprofil mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
So binden Sie ein HTTP-Header-Logprofil mithilfe der Befehlszeilenschnittstelle an eine LSN-Gruppe
Geben Sie in der Befehlszeile Folgendes ein:
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
Beispielkonfiguration
In der folgenden DS-Lite-LSN-Konfiguration ist das HTTP-Header-Logprofil HTTP-Header-Log-1 an die LSN-Gruppe LSN-DSLITE-GROUP-1 gebunden. Im Protokollprofil sind alle HTTP-Attribute (URL, HTTP-Methode, HTTP-Version und HOST-IP-Adresse) für die Protokollierung aktiviert, sodass all diese Attribute für alle HTTP-Anfragen von B4-Geräten (im Netzwerk 2001:DB 8:5001: :/96) protokolliert werden.
Beispielkonfiguration:
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-DSLITE-CLIENT-1
Done
bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
add lsn pool LSN-DSLITE-POOL-1
Done
bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
IPFIX-Protokollierung
Die NetScaler-Appliance unterstützt das Senden von Informationen über LSN-Ereignisse im IPFIX-Format (Internet Protocol Flow Information Export) an den konfigurierten Satz von IPFIX Collector (s). Die Appliance verwendet die vorhandene AppFlow-Funktion, um LSN-Ereignisse im IPFIX-Format an die IPFIX-Collectors zu senden.
IPFIX-basiertes Logging ist für die folgenden DS_Lite-bezogenen Ereignisse verfügbar:
- Erstellen oder Löschen einer LSN-Sitzung.
- Erstellung oder Löschung eines LSN-Mapping-Eintrags.
- Zuweisung oder Entzuweisung von Portblöcken im Kontext von deterministischem NAT.
- Zuweisung oder Entzuweisung von Portblöcken im Kontext von dynamischem NAT.
- Immer wenn das Kontingent für Abonnentensitzungen überschritten wird.
Punkte, die Sie beachten sollten, bevor Sie die IPFIX-Protokollierung konfigurieren
Bevor Sie mit der Konfiguration von IPSec ALG beginnen, sollten Sie die folgenden Punkte berücksichtigen:
- Sie müssen die AppFlow Funktion und die IPFIX-Kollektoren auf der NetScaler Appliance konfigurieren. Anweisungen finden Sie unter Konfigurieren der AppFlow-Funktion.
Konfigurationsschritte
Führen Sie die folgenden Aufgaben aus, um LSN-Informationen im IPFIX-Format zu protokollieren:
- Aktivieren Sie die LSN-Protokollierung in der AppFlow-Konfiguration. Aktivieren Sie den LSN-Logging-Parameter als Teil der AppFlow-Konfiguration.
- Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den IPFIX-Parameter, der die Protokollinformationen im IPFIX-Format aktiviert oder deaktiviert.
- Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das LSN-Protokollprofil an eine oder mehrere LSN-Gruppe (n). Ereignisse, die sich auf die gebundene LSN-Gruppe beziehen, werden im IPFIX-Format protokolliert.
So aktivieren Sie die LSN-Protokollierung in der AppFlow-Konfiguration mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
set appflow param -lsnLogging (ENABLED |DISABLED )
show appflow param
<!--NeedCopy-->
Um mithilfe der CLI ein LSN-Protokollprofil zu erstellen, geben Sie in der Befehlszeile Folgendes ein
Geben Sie in der Befehlszeile Folgendes ein:
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
So binden Sie das LSN-Protokollprofil mithilfe der CLI an eine LSN-Gruppe einer LSN-Konfiguration
Geben Sie in der Befehlszeile Folgendes ein:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
So erstellen Sie ein LSN-Protokollprofil mithilfe der GUI
Navigieren Sie zu System > Large Scale NAT > Profile, klicken Sie auf die Registerkarte Protokoll und fügen Sie dann ein Protokollprofil hinzu.
So binden Sie das LSN-Protokollprofil mithilfe der GUI an eine LSN-Gruppe einer LSN-Konfiguration
- Navigieren Sie zu System > Large Scale NAT > LSN Group und öffnen Sie die LSN-Gruppe .
- Klicken Sie unter Erweiterte Einstellungen auf + Protokollprofil, um das erstellte Protokollprofil an die LSN-Gruppe zu binden.