Journalisation et surveillance de DS-Lite
Vous pouvez enregistrer les informations DS-Lite pour diagnostiquer ou résoudre des problèmes et pour répondre aux exigences légales. L’appliance NetScaler prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (MAPPING)
- Si l’entrée de mappage DSLite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- L’adresse IP de destination, le port et l’ID du domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (SESSION)
- Si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stockées sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance NetScaler dont l’adresse NSIP est 10.102.37.115. Vous pouvez enregistrer les informations DS-Lite pour diagnostiquer ou résoudre des problèmes et pour répondre aux exigences légales. L’appliance NetScaler prend en charge toutes les fonctionnalités de journalisation LSN pour la journalisation des informations DS-Lite. Pour configurer la journalisation DS-Lite, utilisez les procédures de configuration de la journalisation LSN, décrites dans Logging and Monitoring LSN.
Un message de journal pour une entrée de mappage DS-Lite LSN contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (MAPPING)
- Si l’entrée de mappage DSLite LSN a été créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- L’adresse IP de destination, le port et l’ID du domaine de trafic peuvent être présents, selon les conditions suivantes :
- L’adresse IP et le port de destination ne sont pas enregistrés pour le mappage indépendant du point de terminaison.
- Seule l’adresse IP de destination est enregistrée pour le mappage dépendant de l’adresse. Le port n’est pas enregistré.
- L’adresse IP et le port de destination sont enregistrés pour le mappage dépendant du port d’adresse.
Un message de journal pour une session DS-Lite contient les informations suivantes :
- Adresse IP appartenant à NetScaler (adresse NSIP ou adresse SNIP) d’où provient le message du journal
- Horodatage
- Type d’entrée (SESSION)
- Si la session DS-Lite est créée ou supprimée
- Adresse IPv6 de B4
- Adresse IP, port et ID de domaine de trafic de l’abonné
- Adresse IP et port NAT
- Nom du protocole
- Adresse IP de destination, port et ID de domaine de trafic
Le tableau suivant présente des exemples d’entrées de journal DS-Lite de chaque type stockées sur les serveurs de journaux configurés. Ces entrées de journal sont générées par une appliance NetScaler dont l’adresse NSIP est 10.102.37.115.
Type d’entrée du journal LSN | Exemple d’entrée dans le journal |
Création d’une session DS-Lite | Local4.Informational 10.102.37.115 14/08/2015:13:35:38 GMT 0-PPE-1 : LSN LSN_SESSION 37647607 0 par défaut : SESSION CRÉÉE 2001:DB8 : 3:4 IP du client : Port:TD 192.0.2. 51:2552:0, Natip:NATPort 203.0.113. 61:3002, IP de destination : Port TD 198.51.100. 250:80:0, Protocole : TTP CP |
Suppression de session DS-Lite | Local4.Informational 10.102.37.115 14/08/2015:13:38:22 GMT 0-PPE-1 : LSN LSN_SESSION 37647617 0 par défaut : SESSION SUPPRIMÉE 2001:DB8 : 3:4 IP du client : Port:TD 192.0.2. 51:2552:0, Natip:NATPort 203.0.113. 61:3002, IP de destination : Port TD 198.51.100. 250:80:0, Protocole : TG CP |
Création d’un mappage LSN DS-Lite | Local4. Informational 10.102.37.115 14/08/2015:13:35:39 GMT 0-PPE-1 : LSN LSN_EIM_MAPPING 37647610 0 par défaut : EIM CREATED 2001:DB8 : 3:4 IP du client : Port:TD 192.0.2. 51:2552:0, Natip:NATPort 198.51.100. 250:80, Protocole : TCP |
Suppression du mappage DSLite LSN | Local 4. Informational 10.102.37.115 14/08/2015:13:38:25 GMT 0-PPE-1 : LSN LSN_EIM_MAPPING 37647618 0 par défaut : EIM DELETED 2001:DB8 : 3:4 IP du client : Port:TD 192.0.2. 51:2552:0, Natip:NATPort 198.51.100. 250:80, Protocole : TCP |
Affichage des sessions DS-Lite en cours
Vous pouvez afficher les sessions DS-Lite en cours pour détecter toute session indésirable ou inefficace sur l’appliance NetScaler. Vous pouvez afficher toutes les sessions DS-Lite ou certaines d’entre elles en fonction des paramètres de sélection.
Pour afficher toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour afficher les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
L’exemple de sortie suivant affiche toutes les sessions DS-Lite existantes sur une appliance NetScaler :
afficher la session lsn —nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
Configuration à l’aide de l’utilitaire de configuration
Pour afficher toutes les sessions DS-Lite ou certaines d’entre elles à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite .
- Pour afficher les sessions DS-Lite en fonction des paramètres de sélection, cliquez sur Rechercher.
Effacer des sessions DS-Lite
Vous pouvez supprimer toutes les sessions DS-Lite indésirables ou inefficaces de l’appliance NetScaler. L’appliance libère immédiatement les ressources (telles que l’adresse IP NAT, le port et la mémoire) allouées à ces sessions, les rendant ainsi disponibles pour de nouvelles sessions. L’appliance supprime également tous les paquets suivants liés à ces sessions supprimées. Vous pouvez supprimer toutes les sessions DS-Lite ou certaines d’entre elles de l’appliance NetScaler.
Pour effacer toutes les sessions DS-Lite à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour effacer les sessions DS-Lite sélectionnées à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
Pour effacer toutes les sessions DS-Lite ou certaines d’entre elles à l’aide de l’utilitaire de configuration
- Accédez à Système > NAT à grande échelle > Sessions, puis cliquez sur l’onglet DS-Lite .
- Cliquez sur Vider les sessions.
Enregistrement des informations d’en-tête HTTP
L’appliance NetScaler peut enregistrer les informations d’en-tête de demande d’une connexion HTTP utilisant la fonctionnalité DS-Lite. Les informations d’en-tête suivantes d’un paquet de requête HTTP peuvent être enregistrées :
- URL à laquelle la requête HTTP est destinée
- Méthode HTTP spécifiée dans la requête HTTP
- Version HTTP utilisée dans la requête HTTP
- Adresse IPv4 de l’abonné qui a envoyé la requête HTTP
Les journaux d’en-tête HTTP peuvent être utilisés par les FAI pour voir les tendances liées au protocole HTTP parmi un ensemble d’abonnés. Par exemple, un fournisseur de services Internet peut utiliser cette fonctionnalité pour trouver le site Web le plus populaire parmi un ensemble d’abonnés.
Étapes de configuration
Effectuez les tâches suivantes pour configurer l’appliance NetScaler afin qu’elle enregistre les informations d’en-tête HTTP :
- Créez un profil de journal d’en-tête HTTP. Un profil de journal d’en-tête HTTP est un ensemble d’attributs d’en-tête HTTP (par exemple, URL et méthode HTTP) qui peuvent être activés ou désactivés pour la journalisation.
- Liez l’en-tête HTTP à un groupe LSN d’une configuration LSN DS-Lite. Liez le profil de journal d’en-tête HTTP à un groupe LSN d’une configuration LSN en définissant le paramètre de nom du profil de journal d’en-tête HTTP sur le nom du profil de journal d’en-tête HTTP créé. L’appliance NetScaler enregistre ensuite les informations d’en-tête HTTP de toutes les requêtes HTTP liées au groupe LSN. Un profil de journal d’en-tête HTTP peut être lié à plusieurs groupes LSN, mais un groupe LSN ne peut avoir qu’un seul profil de journal d’en-tête HTTP.
Pour créer un profil de journal d’en-tête HTTP à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
Pour lier un profil de journal d’en-tête HTTP à un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
Exemple de configuration
Dans la configuration LSN DS-Lite suivante, le profil de journal d’en-tête HTTP HTTP-Header-Log-1 est lié au groupe LSN LSN-DSLITE-GROUP-1. Le profil de journal contient tous les attributs HTTP (URL, méthode HTTP, version HTTP et adresse IP HOST) activés pour la journalisation, de sorte que tous ces attributs sont enregistrés pour toutes les requêtes HTTP provenant de périphériques B4 (sur le réseau 2001:DB 8:5001 : :/96).
Exemple de configuration :
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-DSLITE-CLIENT-1
Done
bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
add lsn pool LSN-DSLITE-POOL-1
Done
bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
Journalisation IPFIX
L’appliance NetScaler prend en charge l’envoi d’informations sur les événements LSN au format IPFIX (Internet Protocol Flow Information Export) vers l’ensemble configuré de collecteurs IPFIX. L’appliance utilise la fonctionnalité AppFlow existante pour envoyer des événements LSN au format IPFIX aux collecteurs IPFIX.
La journalisation basée sur IPFIX est disponible pour les événements suivants liés à DS_Lite :
- Création ou suppression d’une session LSN.
- Création ou suppression d’une entrée de mappage LSN.
- Allocation ou désallocation de blocs de ports dans le contexte d’un NAT déterministe.
- Allocation ou désallocation de blocs de ports dans le contexte d’un NAT dynamique.
- Chaque fois que le quota de sessions d’abonnés est dépassé.
Points à prendre en compte avant de configurer la journalisation IPFIX
Avant de commencer à configurer IPsec ALG, tenez compte des points suivants :
- Vous devez configurer la fonctionnalité AppFlow et le ou les collecteurs IPFIX sur l’appliance NetScaler. Pour obtenir des instructions, reportez-vous à la section Configuration de la fonctionnalité AppFlow.
Étapes de configuration
Effectuez les tâches suivantes pour enregistrer les informations LSN au format IPFIX :
- Activez la journalisation LSN dans la configuration AppFlow. Activez le paramètre de journalisation LSN dans le cadre de la configuration d’AppFlow.
- Créez un profil de journal LSN. Un profil de journal LSN inclut le paramètre IPFIX qui active ou désactive les informations du journal au format IPFIX.
- Liez le profil de journal LSN à un groupe LSN d’une configuration LSN. Liez le profil du journal LSN à un ou plusieurs groupes LSN. Les événements liés au groupe LSN lié seront enregistrés au format IPFIX.
Pour activer la journalisation LSN dans la configuration AppFlow à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
set appflow param -lsnLogging (ENABLED |DISABLED )
show appflow param
<!--NeedCopy-->
Pour créer un profil de journal LSN à l’aide de la CLI à l’invite de commande, tapez
À l’invite de commande, tapez :
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Pour créer un profil de journal LSN à l’aide de l’interface graphique
Accédez à Système > NAT à grande échelle > Profils, cliquez sur l’onglet Journal, puis ajoutez un profil de journal.
Pour lier le profil de journal LSN à un groupe LSN d’une configuration LSN à l’aide de l’interface graphique
- Accédez à Système > NAT à grande échelle > Groupe LSN, puis ouvrez le groupeLSN.
- Dans Paramètres avancés, cliquez sur + Profil de journal pour lier le profil de journal créé au groupe LSN.