大規模な NAT64 のロギングとモニタリング
大規模な NAT64 情報をログに記録して、問題の診断とトラブルシューティング、法的要件を満たすことができます。統計カウンタを使用して、関連する現在のセッションを表示することで、大規模な NAT64 展開のパフォーマンスを監視できます。
大規模な NAT64 のロギング
ISP が法的要件を満たし、いつでもトラフィックの送信元を特定するには、大規模な NAT64 情報のロギングが必要です。
大規模な NAT64 マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)。
- タイムスタンプ。
- エントリタイプ (MAPPING)。
- マッピング・エントリが作成されたか、削除されたか。
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID。
- NAT の IP アドレスとポート。
- プロトコル名。
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングの場合、宛先 IP アドレスおよびポートはログに記録されません。
- 宛先 IP アドレスのみがアドレス依存マッピング用にログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレスポートに依存するマッピング用にログに記録されます。
大規模な NAT64 セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイム・スタンプ
- エントリの種類 (SESSION)
- セッションが作成されるか、削除されるか
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表に、構成済みのログサーバに保存されている各タイプの大規模な NAT64 ログエントリの例を示します。ログエントリには、IPv6 アドレスが 2001: db 8:5001:: 9 であるサブスクライバが、宛先 IP: ポート 23.0.0. 1:80 を介して接続されていたことが示されています。2016 年 4 月 7 日の 63:45195(グリニッジ標準時 14:07:57 から 14:10:59 まで)。
| ログエントリタイプ | サンプルログエントリ |
|---|---|
| セッションの作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピングの作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
| セッションの削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピングの削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
構成の手順
LSN グループのロギングパラメータとセッションロギングパラメータを設定することで、大規模な NAT64 設定用の大規模な NAT64 情報のロギングを設定できます。これらはグループレベルのパラメータであり、デフォルトでは無効になっています。Citrix ADCアプライアンスは、LSNグループの大規模なNAT64セッションを記録するのは、ロギングとセッションロギングの両方のパラメータが有効になっている場合のみです。
次の表は、ロギングパラメータとセッションロギングパラメータのさまざまな設定に対する LSN グループのロギング動作を示しています。
| ログ | セッションロギング | ロギングの動作 |
|---|---|---|
| 有効 | 有効 | LSN マッピングエントリと LSN セッションを記録します。 |
| 有効 | 無効 | LSN マッピングエントリを記録しますが、LSN セッションは記録しません。 |
| 無効 | 有効 | マッピングエントリも LSN セッションもログに記録しません。 |
CLI を使用して大規模な NAT64 情報をログに記録するには
LSN グループの追加時にロギングおよびセッションロギングのパラメータを設定するには、コマンドプロンプトで次のように入力します。
add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
既存の LSN グループのロギングパラメータとセッションロギングパラメータを設定するには、コマンドプロンプトで次のように入力します。
set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
構成例
この大規模な NAT64 設定の例では、LSN グループ LSN-NAT64-GROUP-1 に対してロギングパラメータとセッションロギングパラメータが有効になっています。
Citrix ADCアプライアンスは、加入者からの接続に関する大規模なNAT64セッションおよびマッピング情報をログに記録します(ネットワーク2001:DB 8:5001:: /96)。
設定例:
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1 -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
<!--NeedCopy-->
大規模な NAT64 の MSISDN 情報のロギング
モバイルステーション統合サブスクライバディレクトリ番号(MSISDN)は、複数のモバイルネットワークにわたるサブスクライバを一意に識別する電話番号です。MSISDN は、加入者のオペレータを識別する国コードおよび国別宛先コードに関連付けられています。
Citrix ADC アプライアンスは、モバイルネットワークの加入者の大規模な NAT64 LSN ログエントリに MSISDN を含めるように構成できます。LSN ログに MSISDN が存在すると、ポリシーまたは法律に違反したモバイル加入者、または合法的な傍受機関によって情報が要求されるモバイル加入者の迅速かつ正確なバックトレースが容易になります。
次の LSN ログエントリの例には、LSN 設定のモバイルサブスクライバからの接続の MSISDN 情報が含まれています。ログエントリには、MSISDN が E 164:5556543210 で、IPv6 アドレスが 2001: デシベル8:5001:: 9 であるモバイルサブスクライバが、NAT IP を介して宛先 IP: ポート 23.0.0. 1:80 に接続されていたことが示されています。2016 年 4 月 7 日の 14:07:57 GMT から 14: 10:59 までの 63:45195 です。
| ログエントリタイプ | サンプルログエントリ |
|---|---|
| セッションの作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピングの作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
| セッションの削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピングの削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
構成の手順
LSN ログに MSISDN 情報を含めるには、次のタスクを実行します
- LSNログプロファイルを作成します。LSN ログプロファイルには、LSN 設定の LSN ログに MSISDN 情報を含めるかどうかを指定するログサブスクライバ ID パラメータが含まれます。
- LSN ログプロファイルを LSN 構成の LSN グループにバインドします。作成された LSN ログプロファイル名パラメーターを作成された LSN ログプロファイル名に設定して、LSN 構成の LSN グループにバインドします。MSISDN 情報は、この LSN グループのモバイルサブスクライバに関連するすべての LSN ログに含まれています。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して、LSN ログプロファイルを NAT64 LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
構成例
この NAT64 LSN 設定の例では、LSN ログプロファイル LOG-PROFILE-MSISDN-1 で、ログサブスクライバ ID パラメータが有効になっています。LOG-PROFILE-MSISDN-1は、LSN グループ LSN-NAT64 グループ-1 にバインドされています。MSISDN 情報は、モバイルサブスクライバ(ネットワーク 2001:DB 8:5001:: /96)からの接続の LSN セッションログおよび LSN マッピングログに含まれます。
add lsn logprofile LOG-PROFILE-MSISDN-1 -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename LOG-PROFILE-MSISDN-1
Done
<!--NeedCopy-->
大規模な NAT のコンパクトロギング
LSN 情報のロギングは、ISP が法的要件を満たし、いつでもトラフィックの送信元を特定できるようにするために必要な重要な機能の 1 つです。その結果、ログデータが大量に作成され、ISPはログインフラストラクチャを維持するために多額の投資をする必要があります。
コンパクトログは、イベント名とプロトコル名の短いコードを含む表記変更を使用して、ログサイズを小さくする手法です。たとえば、クライアントの場合は C、作成されたセッションの場合は SC、TCP の場合は T を指定します。コンパクトログでは、ログサイズが平均 40% 削減されます。
構成の手順
コンパクト形式で LSN 情報をロギングするには、次の作業を実行します。
- LSNログプロファイルを作成します。LSN ログプロファイルには、LSN 構成の情報をコンパクト形式で記録するかどうかを指定する Log Compact パラメーターが含まれています。
- LSNログプロファイルをLSN構成のLSNグループにバインドします。作成された LSN ログプロファイル名に [ログプロファイル名] パラメーターを設定して、作成された LSN ログプロファイルを LSN 構成の LSN グループにバインドします。この LSN グループのすべてのセッションとマッピングは、コンパクト形式で記録されます。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
NAT64 の設定例:
add lsn logprofile LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done
<!--NeedCopy-->
HTTP ヘッダー情報のロギング
Citrix ADCアプライアンスは、Citrix ADCの大規模なNAT64機能を使用しているHTTP接続の要求ヘッダー情報をログに記録できます。HTTP 要求パケットの次のヘッダー情報をログに記録できます。
- HTTP リクエストの宛先となる URL
- HTTP リクエストで指定された HTTP メソッド
- HTTP リクエストで使用される HTTP バージョン
- HTTP 要求を送信したサブスクライバの IPv6 アドレス
ISP は HTTP ヘッダーログを使用して、一連のサブスクライバ間の HTTP プロトコルに関連する傾向を確認できます。たとえば、ISPはこの機能を使用して、一連の加入者の中で最も人気のあるWebサイトを見つけることができます。
構成の手順
HTTP ヘッダー情報をログに記録するように Citrix ADC アプライアンスを構成するには、次のタスクを実行します。
- HTTP ヘッダーログプロファイルを作成します。HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性(URL や HTTP メソッドなど)のコレクションです。
- HTTP ヘッダーを大規模な NAT64 設定の LSN グループにバインドします。HTTP ヘッダーログプロファイル名パラメータを作成された HTTP ヘッダーログプロファイルの名前に設定することにより、HTTP ヘッダーログプロファイルを LSN 設定の LSN グループにバインドします。次に、Citrix ADCアプライアンスは、LSNグループに関連するすべてのHTTP要求のHTTPヘッダー情報をログに記録します。HTTP ヘッダーログプロファイルは、複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか設定できません。
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、HTTP ヘッダーログプロファイルを LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
構成例
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
現在の大規模な NAT64 セッションの表示
Citrix ADCアプライアンス上の不要なセッションや非効率的なセッションを検出するために、現在の大規模NAT64セッションを表示できます。選択パラメータに基づいて、大規模な NAT64 セッションすべてまたは一部を表示できます。
注
Citrix ADCアプライアンス上に100万を超える大規模NAT64セッションが存在する場合は、選択パラメータを使用して選択した大規模NAT64セッションをすべて表示するのではなく、選択パラメータを使用することをお勧めします。
コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべて表示するには
コマンドプロンプトで入力します。
show lsn session –nattype NAT64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、選択的な大規模な NAT64 セッションを表示するには
コマンドプロンプトで入力します。
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
大規模な NAT64 統計情報の表示
大規模な NAT64 モジュールに関連する統計情報を表示し、そのパフォーマンスを評価したり、問題のトラブルシューティングを行うことができます。すべての大規模な NAT64 設定または特定の大規模な NAT64 設定の統計情報のサマリーを表示できます。統計カウンタには、Citrix ADCアプライアンスが最後に再起動されてからのイベントが反映されます。Citrix ADCアプライアンスが再起動されると、これらのカウンタはすべて0にリセットされます。
コマンドラインインターフェイスを使用して大規模な NAT64 の統計情報の合計を表示するには
コマンドプロンプトで入力します。
stat lsn nat64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、指定した大規模な NAT64 設定の統計情報を表示するには
コマンドプロンプトで入力します。
stat lsn group <groupname>
<!--NeedCopy-->
大規模な NAT64 セッションのクリア
不要なまたは非効率的な大規模NAT64セッションをCitrix ADCアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をただちに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、これらの削除されたセッションに関連する後続のパケットもすべてドロップします。Citrix ADCアプライアンスから、すべてまたは選択した大規模NAT64セッションを削除できます。
コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべてクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype NAT64
show lsn session –nattype NAT64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択的な大規模な NAT64 セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
設定例:
Citrix ADCアプライアンス上に存在するすべての大規模NAT64セッションをクリアする
flush lsn session –nattype NAT64
Done
<!--NeedCopy-->
クライアントエンティティ LSN-NAT64-CLIENT-1 に関連する大規模な NAT64 セッションをすべてクリアします。
flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done
<!--NeedCopy-->
LSN クライアントエンティティ LSN-NAT64 CLIENT-2 の加入者ネットワーク(2001:DB 8:5001:: /96)に関連する大規模な NAT64 セッションをすべてクリアします。
flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done
<!--NeedCopy-->
IPFIX ロギング
Citrix ADCアプライアンスは、LSNイベントに関する情報をインターネット・プロトコル・フロー情報エクスポート(IPFIX)形式でIPFIXコレクタで構成されたセットに送信できます。アプライアンスは、既存のAppFlow機能を使用して、IPFIX形式のLSNイベントをIPFIXコレクタに送信します。
IPFIX ベースのロギングは、次の NAT64 関連イベントで使用できます。
- LSN セッションの作成または削除。
- LSN マッピングエントリの作成または削除。
- Deterministic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- Dynamic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- サブスクライバセッションクォータを超えた場合。
IPFIX ロギングを構成する前に考慮すべきポイント
IPSec ALG の設定を開始する前に、次の点を考慮してください。
- Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、 AppFlow 機能の構成を参照してください。
構成の手順
LSN 情報を IPFIX 形式でロギングするには、次の作業を実行します。
- AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
- LSNログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれています。
- LSNログプロファイルをLSN構成のLSNグループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは、IPFIX 形式で記録されます。
CLIを使用してAppFlow構成でLSNロギングを有効にするには
コマンドプロンプトで入力します。
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを作成するにはコマンドプロンプトで
コマンドプロンプトで入力します。
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
GUI を使用して LSN ログプロファイルを作成するには
[システム] > [大規模NAT] > [プロファイル] に移動し、[ログ] タブをクリックしてログプロファイルを追加します。
GUI を使用して LSN ログプロファイルを LSN 構成の LSN グループにバインドするには
- [ システム ] > [ 大規模NAT ] > [ LSN グループ] に移動し、LSN グループを開きます。
- [詳細設定] で、 [+ ログプロファイル] をクリックして、作成したログプロファイルを LSN グループにバインドします。