-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでCitrix ADC VPXのパフォーマンスを最適化する
-
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix ADCでパケットトレースを記録する方法
このトラブルシューティング記事では、管理者がCitrix ADC GUIを使用してネットワークパケットトレースを記録する方法について説明します。
確認事項
-
Citrix では、次のWebページにある「自動ビルドセクション」から最新のWiresharkバージョンを使用することをお勧めします: http://www.wireshark.org/download/automated。
-
Citrix ADCバージョン11.1以降では、キャプチャを復号化してECC(楕円曲線暗号化)を確認するために、セッションの再利用とDHパラメーターが仮想サーバーから無効になっています。トレースをキャプチャする前に行う必要があります。
NetScalerバージョン11.1でパケットトレースを記録する
- [ システム ] > [ 診断] ページに移動します。
-
次のスクリーンショットに示すように、[ 診断 ] ページの [ 新しいトレースの開始 ] リンクをクリックします。
-
[パケットサイズ] フィールドでパケットサイズを 0 に更新します。
- [ 開始 ] をクリックして、ネットワークパケットトレースの記録を開始します。
-
テストが完了したら、[ 停止してダウンロード ] をクリックして、ネットワークパケットトレースの記録を停止します。
-
必要なファイルを選択して [ 選択 ] をクリックし、[ ダウンロード] をクリックします。
-
Wireshark ユーティリティでネットワークパケットトレースファイルを開き、ファイルの内容を表示します。
注:秘密キーなしでパケットトレースを復号化するには、[復号化された SSL パケット (SSLPLAIN)] を選択します。
SSL マスターキーのキャプチャ
11.0、11.1以降のバージョンには、その特定のセッション/nstraceに対してのみ有効なセッションキーをキャプチャするオプションがあります。このオプションは、秘密キーを共有しない場合や、SSLPLAINモードを使用する場合に使用できます。詳しくは、https://support.citrix.com/article/CTX135889を参照してください。
秘密キーを共有せずにセッションキーをエクスポートする
ほとんどのシナリオでは、秘密鍵は利用できないか、共有されていません。このようなシナリオでは、 秘密鍵の代わりにSSLセッション鍵をエクスポートすることを提案できます 。 「SSL 秘密キーを共有せずに SSL セッションキーをエクスポートおよび使用して SSL トレースを復号する方法」https://support.citrix.com/article/CTX135889を参照してください 。
フィルター
また、トレース中は IP ベースのフィルタを追加することを常に推奨します。このプロセスにより、関心のあるトラフィックだけが確実にキャプチャされ、トラブルシューティングが容易になります。フィルターを追加すると、トレース中のアプライアンスの負荷も軽減されます。
![[フィルタ] セクション](/en-us/citrix-adc/media/filter-exp.png)
適切なキャプチャを取得するには、単純なIPベースのフィルターで十分です。 nstrace フィルターと例について詳しくは、 NetScalerのドキュメントページを参照してください 。
仮想サーバーIPフィルタ(フロントエンドとバックエンドの両方)でパケットトレースをキャプチャするユースケース
仮想サーバの IP アドレスのフィルタを使用し、CLI で「—link」オプションを有効にするか、GUI で [フィルタリングされた接続ピアトラフィックをトレース] オプション (10.1以降で利用可能) を選択すると、IP アドレスのフロントエンドトラフィックとバックエンドトラフィックの両方をキャプチャできます。
start nstrace -size 0 -filter "CONNECTION.IP.EQ(1.1.1.1)" -link ENABLED
show nstrace
State: RUNNING Scope: LOCAL TraceLocation: "/var/nstrace/24Mar2017_16_00_19/..." Nf: 24 Time: 3600 Size: 0 Mode: TXB NEW_RX
Traceformat: NSCAP PerNIC: DISABLED FileName: 24Mar2017_16_00_19 Filter: "CONNECTION.IP.EQ(1.1.1.1)" Link: ENABLED Merge: ONSTOP Doruntimecleanup: ENABLED
TraceBuffers: 5000 SkipRPC: DISABLED Capsslkeys: DISABLED InMemoryTrace: DISABLED
<!--NeedCopy-->
周期的なトレースのキャプチャ
断続的な問題のトラブルシューティングは常に困難です。周期的なトレースは、断続的な問題に最適です。トレースは、問題が発生するまでに数時間または数日にわたって実行できます。また、特定のフィルタを使用して、長期間実行する前に生成されるトレースファイルのサイズを評価することもできます。
CLI から以下のコマンドを実行します。
start nstrace -nf 60 -time 30 -size 0
This particular trace will create 60 files each of them for 30 sec. This means the files will start getting overwritten after 60 trace files or 30 mins
Show nstrace à To check the status of the nstrace
Stop nstrace à To stop the nstrace.
<!--NeedCopy-->
ベストプラクティス
1 秒あたり GB のトラフィックを処理するユニットでは、トラフィックのキャプチャは非常にリソースを大量に消費するプロセスです。リソースへの影響は、主に CPU とディスク容量の点にあります。ディスク容量への影響は、フィルタリング式を使用することで軽減できます。ただし、アプライアンスはパケットをキャプチャする前にフィルタに従ってパケットを処理する必要があるため、CPU への影響は残り、わずかに増加することがあります。
トレースのベストプラクティスは次のとおりです。
- 対象のパケットが確実にキャプチャされる場合は、トレースを実行する期間をできるだけ制限する必要があります。
- 営業時間外など、ユーザー数 (したがってトラフィック) が大幅に減少したときにトレースアクティビティが発生するようにスケジュールします。
その他のリソース
GUIから仮想サーバーでのセッション再利用を無効にする
トレースをキャプチャしてトレースで SSL ハンドシェイクを完了すると、セッションの再利用は無効になります。有効にすると、トレースで部分的なハンドシェイクをキャプチャできます。トレース収集後に必ずこのオプションを有効にしてください。 永続化メソッドが sslsession の場合、SSL セッションの再利用を無効にしないでください。既存の接続の永続性が損なわれるためです。詳細については、https://support.citrix.com/article/CTX121925を参照してください。
- 仮想サーバーを開き、[SSL パラメータ] に移動します。
-
セッション再利用を有効にするが有効な場合は無効にします。
CLIから仮想サーバーでのセッション再利用を無効にする
- アプライアンスコンソールに SSH 接続します。
-
次のコマンドを実行して、仮想サーバーから DH Param を無効にします。
set ssl vserver "vServer_Name" -sessReuse DISABLED
GUI から仮想サーバの DH パラメータを無効にする
DHパラメータについて理解するにはhttps://support.citrix.com/article/CTX213335を参照してください。
- 仮想サーバーを開き、[SSL パラメータ] に移動します。
-
DH Paramが有効な場合は無効にします。
CLI から仮想サーバの DH パラメータを無効にする
- アプライアンスコンソールに SSH 接続します。
-
次のコマンドを実行して、仮想サーバーから DH Param を無効にします。
set ssl vserver "vServer_Name" -dh DISABLED
GUIから仮想サーバ上のECCカーブを無効にする
キャプチャされたSSLトレースを秘密鍵で復号化するために、ECCカーブが無効になっています。関連する SSL 暗号が使用されている場合は、キーを無効にしないでください。ECC カーブの詳細については、https://support.citrix.com/article/CTX205289を参照してください。
-
仮想サーバを開き、[ECC Curve] に移動します。
-
仮想サーバにバインドされたECC Curveがない場合、他のアクションは必要ありません。
-
ECCカーブが仮想サーバにバインドされている場合は、ECCカーブをクリックして仮想サーバからバインド解除します。
CLIから仮想サーバ上のECCカーブを無効にする
- アプライアンスコンソールに SSH 接続します。
-
仮想サーバにバインドされているECC Curveごとに、次のコマンドを実行します。
unbind ssl vserver "vServer_Name" -eccCurveName "ECC_Curve_Name"
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.