大規模NAT64のログ記録と監視
大規模な NAT64 情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。統計カウンタを使用し、関連する現在のセッションを表示することで、大規模な NAT64 デプロイメントのパフォーマンスを監視できます。
大規模な NAT64 のロギング
ISP が法的要件を満たし、いつでもトラフィックの送信元を特定するには、大規模な NAT64 情報を記録する必要があります。
大規模な NAT64 マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)。
- タイムスタンプ。
- エントリタイプ (マッピング)。
- マッピングエントリが作成されたか、削除されたか。
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID。
- NAT IP アドレスとポート。
- プロトコル名。
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が表示される場合があります。
- エンドポイントに依存しないマッピングのため、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存のマッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレスポート依存のマッピング用にログに記録されます。
大規模な NAT64 セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (セッション)
- セッションが作成されるか削除されるか
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表は、設定されたログサーバーに保存されている各タイプの大規模な NAT64 ログエントリのサンプルを示しています。ログエントリには、IPv6 アドレスが 2001: db 8:5001:9 のサブスクライバが、2016 年 4 月 7 日 14:07:57 グリニッジ標準時 14:07:57 から 14:10:59 までの間に、NAT IP: ポート 203.0.113. 63:45195 を介して宛先 IP: ポート 23.0.0. 1:80 に接続されたことが示されています。
| ログエントリタイプ | サンプルログエントリ |
|---|---|
| セッション作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピング作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
| セッション削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピング削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
構成の手順
LSN グループのロギングパラメータとセッションロギングパラメータを設定することで、大規模な NAT64 構成の大規模な NAT64 情報のロギングを設定できます。これらはグループレベルのパラメータで、デフォルトでは無効になっています。NetScalerアプライアンスは、ログとセッションログの両方のパラメーターが有効になっている場合にのみ、LSNグループの大規模なNAT64セッションをログに記録します。
次の表は、ロギングおよびセッションロギングパラメータのさまざまな設定に対する LSN グループのロギング動作を示しています。
| ログ | セッションロギング | ロギング動作 |
|---|---|---|
| 有効 | 有効 | LSN マッピングエントリと LSN セッションをログに記録します。 |
| 有効 | 無効 | LSN マッピングエントリをログに記録するが、LSN セッションは記録しない |
| 無効 | 有効 | マッピングエントリも LSN セッションもログに記録しない |
CLI を使用して大規模な NAT64 情報をログに記録するには
LSN グループの追加時にロギングパラメータとセッションロギングパラメータを設定するには、コマンドプロンプトで次のように入力します。
add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
既存の LSN グループのロギングパラメータとセッションロギングパラメータを設定するには、コマンドプロンプトで次のように入力します。
set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
構成例
この大規模な NAT64 構成の例では、LSN グループ LSN-NAT64-GROUP-1 のロギングパラメータとセッションロギングパラメータが有効になっています。
NetScalerアプライアンスは、サブスクライバー(ネットワーク2001:DB 8:5001:: /96)からの接続に関する大規模なNAT64セッションとマッピング情報をログに記録します。
設定例:
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1 -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
<!--NeedCopy-->
大規模な NAT64 用の MSISDN 情報のロギング
モバイルステーション統合加入者電話番号(MSISDN)は、複数のモバイルネットワークにわたって加入者を一意に識別する電話番号です。MSISDNには、加入者の事業者を識別する国コードと国内宛先コードが関連付けられています。
NetScalerアプライアンスは、モバイルネットワークのサブスクライバーの大規模なNAT64 LSNログエントリにMSISDNSを含めるように構成できます。LSN ログに MSISDN が含まれていると、ポリシーや法律に違反したモバイル加入者や、合法的な傍受機関から情報を要求されたモバイル加入者のバックトレースを迅速かつ正確に行うことができます。
次の LSN ログエントリの例には、LSN 設定のモバイル加入者からの接続の MSISDN 情報が含まれています。ログエントリには、MSISDN が E 164:5556543210 で IPv6 アドレスが 2001: db 8:5001:: 9 のモバイル加入者が、2016 年 4 月 7 日 14:07:57 グリニッジ標準時 14:07:57 から 14:10:59 までの間に、NAT IP: ポート 203.0.113. 63:45195 を介して宛先 IP: ポート 23.0.0. 1:80 に接続されたことが示されています。
| ログエントリタイプ | サンプルログエントリ |
|---|---|
| セッション作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピング作成 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
| セッション削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
| マッピング削除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
構成の手順
MSISDN 情報を LSN ログに含めるには、次のタスクを実行します。
- LSN ログプロファイルを作成します。LSN ログプロファイルには、LSN 設定の LSN ログに MSISDN 情報を含めるかどうかを指定するログサブスクライバー ID パラメータが含まれます。
- LSN ログプロファイルを LSN 設定の LSN グループにバインドします。作成した LSN ログプロファイル名にログプロファイル名パラメータを設定して、作成した LSN ログプロファイルを LSN 設定の LSN グループにバインドします。MSISDN 情報は、この LSN グループのモバイル加入者に関連するすべての LSN ログに含まれます。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを NAT64 LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
構成例
この NAT64 LSN 設定の例では、LSN ログプロファイル LOG-PROFILE-MSISDN-1 のログサブスクライバー ID パラメータが有効になっています。LOG-PROFILE-MSISDN-1 は LSN グループ LSN-NAT64-GROUP-1 にバインドされています。MSISDN 情報は、(ネットワーク 2001: DB 8:5001:: /96) モバイルサブスクライバからの接続の LSN セッションと LSN マッピングログに含まれます。
add lsn logprofile LOG-PROFILE-MSISDN-1 -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename LOG-PROFILE-MSISDN-1
Done
<!--NeedCopy-->
大規模NAT用のコンパクトロギング
LSN 情報のロギングは、ISP が法的要件を満たし、いつでもトラフィックの送信元を特定できるようにするために必要となる重要な機能の 1 つです。その結果、最終的には膨大な量のログデータになり、ISPはロギングインフラストラクチャの維持に多額の投資をする必要があります。
コンパクトロギングは、イベント名とプロトコル名のショートコードを含む表記変更を行うことでログサイズを小さくする手法です。たとえば、C はクライアント、SC は作成されたセッション、T は TCP です。コンパクトロギングでは、ログサイズを平均 40% 削減できます。
構成の手順
LSN 情報をコンパクト形式で記録するには、次のタスクを実行します。
- LSN ログプロファイルを作成します。LSN ログプロファイルには、LSN 設定の情報をコンパクト形式で記録するかどうかを指定する Log Compact パラメータが含まれます。
- LSN ログプロファイルを LSN 設定の LSN グループにバインドします。Log Profile Name パラメータを作成した LSN ログプロファイル名に設定して、作成した LSN ログプロファイルを LSN 設定の LSN グループにバインドします。この LSN グループのすべてのセッションとマッピングは、コンパクト形式でログに記録されます。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
NAT64 のサンプル構成:
add lsn logprofile LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done
<!--NeedCopy-->
HTTP ヘッダー情報のロギング
NetScalerアプライアンスは、NetScalerの大規模なNAT64機能を使用するHTTP接続のリクエストヘッダー情報をログに記録できます。HTTP リクエストパケットの次のヘッダー情報を記録できます。
- HTTP リクエストの送信先の URL
- HTTP リクエストで指定された HTTP メソッド
- HTTP リクエストで使用される HTTP バージョン
- HTTP 要求を送信したサブスクライバの IPv6 アドレス
ISP は HTTP ヘッダーログを使用して、複数のサブスクライバーの HTTP プロトコルに関連する傾向を確認できます。たとえば、ISP はこの機能を使用して、複数のサブスクライバーの中で最も人気のある Web サイトを検索できます。
構成の手順
次のタスクを実行して、HTTPヘッダー情報を記録するようにNetScalerアプライアンスを構成します。
- HTTP ヘッダーログプロファイルを作成します。HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性 (URL や HTTP メソッドなど) のコレクションです。
- HTTP ヘッダーを大規模な NAT64 構成の LSN グループにバインドします。HTTP ヘッダーログプロファイル名パラメーターを作成した HTTP ヘッダーログプロファイルの名前に設定して、HTTP ヘッダーログプロファイルを LSN 構成の LSN グループにバインドします。次に、NetScalerアプライアンスは、LSNグループに関連するすべてのHTTPリクエストのHTTPヘッダー情報を記録します。HTTP ヘッダーログプロファイルは複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか割り当てることができません。
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
構成例
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
現在の大規模な NAT64 セッションの表示
NetScalerアプライアンス上の不要なセッションや非効率的なセッションを検出するために、現在の大規模なNAT64セッションを表示できます。選択パラメータに基づいて、すべてまたは一部の大規模な NAT64 セッションを表示できます。
注
NetScalerアプライアンス上に100万を超える大規模なNAT64セッションが存在する場合、Citrixでは、選択パラメーターを使用して選択した大規模なNAT64セッションをすべて表示するのではなく、選択パラメーターを使用して表示することをお勧めします。
コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべて表示するには
コマンドプロンプトで入力します。
show lsn session –nattype NAT64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して大規模な NAT64 セッションを選択的に表示するには
コマンドプロンプトで入力します。
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
大規模な NAT64 統計情報の表示
大規模な NAT64 モジュールに関連する統計を表示し、そのパフォーマンスを評価したり、問題をトラブルシューティングしたりできます。すべての大規模な NAT64 構成または特定の大規模な NAT64 構成の統計の概要を表示できます。統計カウンターには、NetScalerアプライアンスが最後に再起動されてからのイベントが反映されます。NetScalerアプライアンスを再起動すると、これらのカウンタはすべて0にリセットされます。
コマンドラインインターフェイスを使用して大規模な NAT64 の統計情報をまとめて表示するには
コマンドプロンプトで入力します。
stat lsn nat64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、指定した大規模な NAT64 構成の統計情報を表示するには
コマンドプロンプトで入力します。
stat lsn group <groupname>
<!--NeedCopy-->
大規模な NAT64 セッションのクリア
不要または非効率的な大規模NAT64セッションをNetScalerアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をすぐに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、削除されたセッションに関連する後続のパケットもすべてドロップします。NetScalerアプライアンスからすべてまたは選択した大規模NAT64セッションを削除できます。
コマンドラインインターフェイスを使用して大規模な NAT64 セッションをすべてクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype NAT64
show lsn session –nattype NAT64
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択的に大規模な NAT64 セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
設定例:
NetScalerアプライアンスに存在する大規模なNAT64セッションをすべてクリアします
flush lsn session –nattype NAT64
Done
<!--NeedCopy-->
クライアントエンティティ LSN-NAT64-CLIENT-1 に関連する大規模な NAT64 セッションをすべてクリアします
flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done
<!--NeedCopy-->
LSN クライアントエンティティ LSN-NAT64-CLIENT-2 のサブスクライバネットワーク (2001: DB 8:5001:: /96) に関連する大規模な NAT64 セッションをすべてクリアします
flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done
<!--NeedCopy-->
IPFIX ロギング
NetScalerアプライアンスは、LSNイベントに関する情報をインターネットプロトコルフロー情報エクスポート(IPFIX)形式で、構成済みのIPFIXコレクターのセットに送信することをサポートしています。アプライアンスは既存のAppFlow機能を使用して、LSNイベントをIPFIX形式でIPFIXコレクターに送信します。
IPFIX ベースのロギングは、次の NAT64 関連イベントで使用できます。
- LSN セッションの作成または削除。
- LSN マッピングエントリの作成または削除。
- デターミニスティック NAT におけるポートブロックの割り当てまたは割り当て解除
- ダイナミック NAT におけるポートブロックの割り当てまたは割り当て解除
- サブスクライバセッションクォータを超えると。
IPFIX ロギングを設定する前に考慮すべきポイント
IPSec ALG の設定を開始する前に、次の点を考慮してください。
- Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、 AppFlow 機能の構成を参照してください。
構成の手順
LSN 情報を IPFIX 形式で記録するには、次のタスクを実行します。
- AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
- LSN ログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれます。
- LSN ログプロファイルを LSN 設定の LSN グループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは IPFIX 形式で記録されます。
CLIを使用してAppFlow構成でLSNロギングを有効にするには
コマンドプロンプトで入力します。
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを作成するには、コマンドプロンプトで次のように入力します
コマンドプロンプトで入力します。
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
GUI を使用して LSN ログプロファイルを作成するには
[ システム ] > [ 大規模NAT ] > [ プロファイル] に移動し、[ ログ ] タブをクリックして、ログプロファイルを追加します。
GUI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
- [ システム ] > [ 大規模NAT ] > [ LSN グループ] に移動し、LSN グループを開きます。
- 詳細設定で、+ Log Profile をクリックして、作成したログプロファイルを LSN グループにバインドします。