DS-Lite のロギングとモニタリング
DS-Lite 情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (MAPPING)
- DS-Lite LSN マッピングエントリが作成または削除されたかどうか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピングのログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (SESSION)
- DS-Lite セッションが作成されるか、削除されるか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表に、構成済みのログサーバに保存されている各タイプの DS-Lite ログエントリの例を示します。これらのログエントリは、NSIPアドレスが10.102.37.115.Citrix ADCアプライアンスによって生成されます。DS-Lite情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (MAPPING)
- DS-Lite LSN マッピングエントリが作成または削除されたかどうか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピングのログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (SESSION)
- DS-Lite セッションが作成されるか、削除されるか
- B4のIPv6アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表に、構成済みのログサーバに保存されている各タイプの DS-Lite ログエントリの例を示します。これらのログエントリは、NSIP アドレスが 10.102.37.115 であるCitrix ADC アプライアンスによって生成されます。
| LSN ログエントリタイプ | サンプルログエントリ |
| DS-Lite セッションの作成 | Local4.Informational 10.102.37.115 08/14/2015:13:35:38 GMT 0-PPE-1 : default LSN LSN_SESSION 37647607 0 : SESSION CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol:TCP |
| DS-Lite セッションの削除 | Local4.Informational 10.102.37.115 08/14/2015:13:38:22 GMT 0-PPE-1 : default LSN LSN_SESSION 37647617 0 : SESSION DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 203.0.113.61:3002, Destination IP:Port:TD 198.51.100.250:80:0, Protocol: TCP |
| DS-Lite LSNマッピングの作成 | Local4.Informational 10.102.37.115 08/14/2015:13:35:39 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647610 0 : EIM CREATED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
| DS-Lite LSN マッピングの削除 | Local4.Informational 10.102.37.115 08/14/2015:13:38:25 GMT 0-PPE-1 : default LSN LSN_EIM_MAPPING 37647618 0 : EIM DELETED 2001:DB8::3:4 Client IP:Port:TD 192.0.2.51:2552:0, NatIP:NatPort 198.51.100.250:80, Protocol: TCP |
現在の DS-Lite セッションの表示
Citrix ADCアプライアンス上の不要なセッションや非効率的なセッションを検出するために、現在のDS-Liteセッションを表示できます。選択パラメータに基づいて、すべてまたは一部の DS-Lite セッションを表示できます。
コマンドラインインターフェイスを使用してすべての DS-Lite セッションを表示するには
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite
<!--NeedCopy-->
コマンド・ライン・インタフェースを使用して選択した DS-Lite セッションを表示するには
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
次の出力例は、Citrix ADCアプライアンス上に存在するすべてのDS-Liteセッションを表示します。
lsn セッションの表示:nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
設定ユーティリティを使用した設定
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションを表示するには
- [システム] > [ **大規模NAT ] > [ セッション ] に移動し、[ **DS-Lite ] タブをクリックします。
- 選択パラメータに基づいてDS-Liteセッションを表示するには、 「検索」をクリックします。
DS-Lite セッションのクリア
不要なDS-Liteセッションや非効率的なセッションをCitrix ADCアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をただちに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、これらの削除されたセッションに関連する後続のパケットもすべてドロップします。Citrix ADCアプライアンスから、すべてまたは選択したDS-Liteセッションを削除できます。
コマンドラインインターフェイスを使用してすべての DS-Lite セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択した DS-Lite セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションをクリアするには
- システムに移動 > 大規模NAT > セッションをクリックし、[ DS-Lite ]タブをクリックします。
- [セッションのフラッシュ] をクリックします。
HTTP ヘッダー情報のロギング
Citrix ADCアプライアンスは、DS-Lite機能を使用しているHTTP接続の要求ヘッダー情報をログに記録できます。HTTP 要求パケットの次のヘッダー情報をログに記録できます。
- HTTP リクエストの宛先となる URL
- HTTP リクエストで指定された HTTP メソッド
- HTTP リクエストで使用される HTTP バージョン
- HTTP 要求を送信したサブスクライバの IPv4 アドレス
ISP は HTTP ヘッダーログを使用して、一連のサブスクライバ間の HTTP プロトコルに関連する傾向を確認できます。たとえば、ISPはこの機能を使用して、一連の加入者の中で最も人気のあるWebサイトを見つけることができます。
構成の手順
HTTP ヘッダー情報をログに記録するように Citrix ADC アプライアンスを構成するには、次のタスクを実行します。
- HTTP ヘッダーログプロファイルを作成します。HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性(URL や HTTP メソッドなど)のコレクションです。
- HTTP ヘッダーを DS-Lite LSN 設定の LSN グループにバインドします。HTTP ヘッダーログプロファイル名パラメータを作成された HTTP ヘッダーログプロファイルの名前に設定することにより、HTTP ヘッダーログプロファイルを LSN 設定の LSN グループにバインドします。次に、Citrix ADCアプライアンスは、LSNグループに関連するすべてのHTTP要求のHTTPヘッダー情報をログに記録します。HTTP ヘッダーログプロファイルは、複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか設定できません。
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、HTTP ヘッダーログプロファイルを LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
構成例
次の DS-Lite LSN 設定では、HTTP ヘッダーログプロファイル HTTP-ヘッダー LOG-1 は LSN グループ LSN-DSLITE-GROUP-1 にバインドされています。ログプロファイルでは、すべての HTTP 属性(URL、HTTP メソッド、HTTP バージョン、および HOST IP アドレス)がロギング用に有効になっているため、B4 デバイスからの HTTP 要求(ネットワーク 2001:DB 8:5001:: /96 内)について、これらの属性はすべてロギングされます。
設定例:
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-DSLITE-CLIENT-1
Done
bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
add lsn pool LSN-DSLITE-POOL-1
Done
bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
IPFIX ロギング
Citrix ADCアプライアンスは、LSNイベントに関する情報をインターネット・プロトコル・フロー情報エクスポート(IPFIX)形式でIPFIXコレクタで構成されたセットに送信できます。アプライアンスは、既存のAppFlow機能を使用して、IPFIX形式のLSNイベントをIPFIXコレクタに送信します。
IPFIX ベースのログ記録は、次の DS_Lite 関連イベントで使用できます。
- LSN セッションの作成または削除。
- LSN マッピングエントリの作成または削除。
- Deterministic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- Dynamic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- サブスクライバセッションクォータを超えた場合。
IPFIX ロギングを構成する前に考慮すべきポイント
IPSec ALG の設定を開始する前に、次の点を考慮してください。
- Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、 AppFlow 機能の構成を参照してください。
構成の手順
LSN 情報を IPFIX 形式でロギングするには、次の作業を実行します。
- AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
- LSNログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれています。
- LSNログプロファイルをLSN構成のLSNグループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは、IPFIX 形式で記録されます。
CLIを使用してAppFlow構成でLSNロギングを有効にするには
コマンドプロンプトで入力します。
set appflow param -lsnLogging (ENABLED |DISABLED )
show appflow param
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを作成するにはコマンドプロンプトで
コマンドプロンプトで入力します。
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
GUI を使用して LSN ログプロファイルを作成するには
[システム] > [大規模NAT] > [プロファイル] に移動し、[ログ] タブをクリックしてログプロファイルを追加します。
GUI を使用して LSN ログプロファイルを LSN 構成の LSN グループにバインドするには
- [ システム ] > [ 大規模NAT ] > [ LSN グループ] に移動し、LSN グループを開きます。
- [詳細設定] で、 [+ ログプロファイル] をクリックして、作成したログプロファイルを LSN グループにバインドします。