日志记录和监视大型 NAT64
您可以记录大规模 NAT64 信息,以诊断和解决问题并满足法律要求。您可以使用统计计数器并显示相关的当前会话来监视大规模 NAT64 部署的性能。
大规模日志记录 NAT64
ISP 需要记录大规模 NAT64 信息,以满足法律要求并在任何给定时间确定流量来源。
大规模 NAT64 映射条目的日志消息包含以下信息:
- NetScaler 拥有的 IP 地址(NSIP 地址或 SNIP 地址),日志消息来自该地址。
- 时间戳。
- 条目类型(映射)。
- 映射条目是创建还是已删除。
- 订阅者的 IP 地址、端口和流量域 ID。
- NAT IP 地址和端口。
- 协议名称。
- 目标 IP 地址、端口和流量域 ID 可能存在,具体取决于以下条件:
- 不记录与端点无关的映射的目标 IP 地址和端口。
- 对于依赖地址的映射,只记录目标 IP 地址。该端口未记录。
- 将记录目标 IP 地址和端口,以进行地址端口相关映射。
大规模 NAT64 会话的日志消息包含以下信息:
- NetScaler 拥有的 IP 地址(NSIP 地址或 SNIP 地址),日志消息来自该地址
- 时间戳
- 条目类型(会话)
- 会话是已创建还是已删除
- 订阅者的 IP 地址、端口和流量域 ID
- NAT IP 地址和端口
- 协议名称
- 目标 IP 地址、端口和流量域 ID
下表显示了存储在已配置日志服务器上的每种类型的大规模 NAT64 日志条目示例。The log entries show that a subscriber whose IPv6 address is 2001:db8:5001::9 was connected to destination IP:port 23.0.0.1:80 through NAT IP:port 203.0.113.63:45195 on April 7, 2016, from 14:07:57 GMT to 14:10:59 GMT.
日志条目类型 | 示例日志条目 |
---|---|
会话创建 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
映射创建 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
会话删除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
映射删除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
配置步骤
您可以通过设置 LSN 组的日志记录和会话记录参数,为大规模 NAT64 配置大规模 NAT64 信息的日志记录。这些是组级参数,默认情况下处于禁用状态。只有在同时启用日志和会话记录参数时,NetScaler 设备才会记录 LSN 组的大规模 NAT64 会话。
下表显示了 LSN 组在各种日志记录和会话记录参数设置下的日志记录行为。
日志记录 | 会话记录 | 记录行为 |
---|---|---|
已启用 | 已启用 | 记录 LSN 映射条目以及 LSN 会话 |
已启用 | 已禁用 | 记录 LSN 映射条目,但不记录 LSN 会话 |
已禁用 | 已启用 | 既不记录映射条目,也不记录 LSN 会话 |
使用 CLI 记录大规模的 NAT64 信息
要在添加 LSN 组时设置日志和会话记录参数,请在命令提示符下键入:
add lsn group <groupname> -clientname <string> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
要为现有 LSN 组设置日志和会话记录参数,请在命令提示符下键入:
set lsn group <groupname> [-logging (ENABLED|DISABLED)] [-sessionLogging (ENABLED|DISABLED)]
show lsn group
<!--NeedCopy-->
示例配置
在此大规模 NAT64 配置示例中,为 LSN 组 LSN-NAT64-GROUP-1 启用了日志记录和会话记录参数。
NetScaler 设备记录来自订阅者的连接的大规模 NAT64 会话和映射信息(在网络 2001:DB8:5001::/96 中)。
示例配置:
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1 -logging ENABLED -sessionLogging ENABLED
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
<!--NeedCopy-->
记录大规模 NAT64 的 MSISDN 信息
移动站集成用户目录号码 (MSISDN) 是一种电话号码,可通过多个移动网络唯一标识订户。MSISDN 与用于标识订户运营商的国家代码和国家目的地代码相关联。
您可以将 NetScaler 设备配置为在移动网络中订阅者的大规模 NAT64 LSN 日志条目中包含 msisDNS。LSN 日志中存在 msisDN 有助于更快、更准确地追踪违反策略或法律或合法拦截机构要求提供信息的移动用户。
以下示例 LSN 日志条目包括 LSN 配置中来自移动订户的连接的 MSISDN 信息。The log entries show that a mobile subscriber whose MSISDN is E164:5556543210 and IPv6 address is 2001:db8:5001::9 was connected to destination IP:port 23.0.0.1:80 through the NAT IP:port 203.0.113.63:45195 on April 7, 2016, from 14:07:57 GMT to 14:10:59 GMT.
日志条目类型 | 示例日志条目 |
---|---|
会话创建 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_SESSION 5532 0 : SESSION CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
映射创建 | 04/07/2016:14:07:57 GMT Informational 0-PPE-10 : default LSN LSN_ADDR_MAPPING 5533 0 : ADM CREATED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:TD 23.0.0.1:80, Protocol: TCP |
会话删除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_SESSION 25012 0 : SESSION DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
映射删除 | 04/07/2016:14:10:59 GMT 0-PPE-10 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM DELETED E164:5556543210 Client IP-Port:TD 2001:db8:5001::9-34937:0, NatIP:NatPort 203.0.113.63:45195, Destination IP:Port:TD 23.0.0.1:0:80, Protocol: TCP |
配置步骤
执行以下任务,在 LSN 日志中包含 MSISDN 信息:
- 创建 LSN 日志配置文件。LSN 日志配置文件包含日志订阅者 ID 参数,该参数指定是否在 LSN 配置的 LSN 日志中包含 MSISDN 信息。
- 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。通过将日志配置文件名称参数设置为创建的 LSN 日志配置文件名称,将创建的 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。MSISDN 信息包含在与此 LSN 组的移动订阅者相关的所有 LSN 日志中。
使用 CLI 创建 LSN 日志配置文件
在命令提示符下,键入:
add lsn logprofile <logprofilename> -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
使用 CLI 将 LSN 日志配置文件绑定到 NAT64 LSN 配置的 LSN 组
在命令提示符下,键入:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
示例配置
在这个 NAT64 LSN 配置示例中,LSN 日志配置文件 LOG-PROFILE-MSISDN-1 启用了日志订阅者 ID 参数。LOG-PROFILE-MSISDN-1 绑定到 LSN 组 LSN-NAT64-GROUP-1。MSISDN 信息包含在来自移动订阅者的连接的 LSN 会话和 LSN 映射日志中(在网络 2001:DB8:5001::/96 中)。
add lsn logprofile LOG-PROFILE-MSISDN-1 -logSubscriberID ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -logprofilename LOG-PROFILE-MSISDN-1
Done
<!--NeedCopy-->
大规模 NAT 的紧凑型日志记录
记录 LSN 信息是 ISP 为满足法律要求并能够在任何给定时间识别流量来源而需要的重要功能之一。这最终会导致大量的日志数据,需要互联网服务提供商进行大量投资来维护日志基础设施。
紧凑日志是一种通过使用涉及事件和协议名称短代码的符号更改来减小日志大小的技术。例如,C 代表客户端,SC 代表创建的会话,T 代表 TCP。紧凑的日志记录使日志大小平均减少了 40%。
配置步骤
执行以下任务,以紧凑格式记录 LSN 信息:
- 创建 LSN 日志配置文件。LSN 日志配置文件包含 Log Compact 参数,该参数指定是否以 LSN 配置的紧凑格式记录信息。
- 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。通过将日志配置文件名称参数设置为创建的 LSN 日志配置文件名称,将创建的 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。此 LSN 组的所有会话和映射均以紧凑格式记录。
使用 CLI 创建 LSN 日志配置文件
在命令提示符下,键入:
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
使用 CLI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组
在命令提示符下,键入:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
NAT64 的示例配置:
add lsn logprofile LOG-PROFILE-COMPACT-1 -logCompact ENABLED
Done
add lsn client LSN-NAT64-CLIENT-1
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-PROFILE-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 –logProfileName LOG-PROFILE-COMPACT-1
Done
<!--NeedCopy-->
记录 HTTP 标头信息
NetScaler 设备可以记录使用 NetScaler 大规模 NAT64 功能的 HTTP 连接的请求标头信息。可以记录 HTTP 请求包的以下标头信息:
- HTTP 请求的目标 URL
- 在 HTTP 请求中指定的 HTTP 方法
- HTTP 请求中使用的 HTTP 版本
- 发送 HTTP 请求的订阅者的 IPv6 地址
互联网服务提供商可以使用 HTTP 标头日志来查看一组订阅者之间与 HTTP 协议相关的趋势。例如,互联网服务提供商可以使用此功能来查找一组订户中最受欢迎的网站。
配置步骤
执行以下任务,配置 NetScaler 设备以记录 HTTP 标头信息:
- 创建 HTTP 标头日志配置文件。HTTP 标头日志配置文件是一组 HTTP 标头属性(例如,URL 和 HTTP 方法),可以启用或禁用这些属性进行记录。
- 将 HTTP 标头绑定到大规模 NAT64 配置的 LSN 组。通过将 HTTP 标头日志配置文件名称参数设置为创建的 HTTP 标头日志配置文件的名称,将 HTTP 标头日志配置文件绑定到 LSN 配置的 LSN 组。然后,NetScaler 设备会记录与 LSN 组相关的任何 HTTP 请求的 HTTP 标头信息。一个 HTTP 标头日志配置文件可以绑定到多个 LSN 组,但是 LSN 组只能有一个 HTTP 标头日志配置文件。
使用命令行界面创建 HTTP 标头日志配置文件
在命令提示符下,键入:
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
使用命令行界面将 HTTP 标头日志配置文件绑定到 LSN 组
在命令提示符下,键入:
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
示例配置
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-NAT64-CLIENT-1 Done
Done
bind lsn client LSN-NAT64-CLIENT-1 -network6 2001:DB8:5001::/96
Done
add lsn pool LSN-NAT64-POOL-1
Done
bind lsn pool LSN-NAT64-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-NAT64-PROFILE-1 -type NAT64 -natprefix 2001:DB8:300::/96
Done
add lsn group LSN-NAT64-GROUP-1 -clientname LSN-NAT64-CLIENT-1 -ip6profile LSN-NAT64-PROFILE-1
Done
bind lsn group LSN-NAT64-GROUP-1 -poolname LSN-NAT64-POOL-1
Done
bind lsn group LSN-NAT64-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
显示当前的大规模 NAT64 会话
您可以显示当前的大规模 NAT64 会话,以便检测 NetScaler 设备上任何不需要的或效率低下的会话。您可以根据选择参数显示全部或部分大规模 NAT64 会话。
注意
当 NetScaler 设备上存在超过一百万个大规模 NAT64 会话时,Citrix 建议使用选择参数显示选定的大规模 NAT64 会话,而不是全部显示。
使用命令行界面显示所有大规模 NAT64 会话
在命令提示符下,键入:
show lsn session –nattype NAT64
<!--NeedCopy-->
使用命令行界面显示选定的大规模 NAT64 会话
在命令提示符下,键入:
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
显示大规模 NAT64 统计数据
您可以显示与大规模 NAT64 模块相关的统计数据,评估其性能或解决问题。您可以显示所有大规模 NAT64 配置或特定大规模 NAT64 配置的统计数据摘要。统计计数器反映了自上次重启 NetScaler 设备以来发生的事件。重新启动 NetScaler 设备后,所有这些计数器都将重置为 0。
使用命令行界面显示大规模 NAT64 的总统计数据
在命令提示符下,键入:
stat lsn nat64
<!--NeedCopy-->
使用命令行界面显示指定大规模 NAT64 配置的统计数据
在命令提示符下,键入:
stat lsn group <groupname>
<!--NeedCopy-->
清除大规模 NAT64 会话
您可以从 NetScaler 设备中删除任何不需要或效率低下的大规模 NAT64 会话。设备立即释放为这些会话分配的资源(例如 NAT IP 地址、端口和内存),使这些资源可用于新会话。设备还会丢弃与这些已删除会话相关的所有后续数据包。您可以从 NetScaler 设备中删除所有或选定的大规模 NAT64 会话。
使用命令行界面清除所有大规模 NAT64 会话
在命令提示符下,键入:
flush lsn session –nattype NAT64
show lsn session –nattype NAT64
<!--NeedCopy-->
使用命令行界面清除选定的大规模 NAT64 会话
在命令提示符下,键入:
flush lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype NAT64 [-network6 <ipv6_addr|*>] [-clientname <string>] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
示例配置:
清除 NetScaler 设备上存在的所有大规模 NAT64 会话
flush lsn session –nattype NAT64
Done
<!--NeedCopy-->
清除所有与客户实体 LSN-NAT64-CLIENT-1 相关的大规模 NAT64 会话
flush lsn session –nattype NAT64 -clientname LSN-NAT64-CLIENT-1
Done
<!--NeedCopy-->
清除与 LSN 客户端实体 LSN-NAT64-CLIENT-2 的订阅者网络 (2001:DB8:5001::/96) 相关的所有大规模 NAT64 会话
flush lsn session –nattype NAT64 –network6 2001:DB8:5001::/96 -clientname LSN-NAT64-CLIENT-2
Done
<!--NeedCopy-->
IPFIX 日志
NetScaler 设备支持以互联网协议流信息导出 (IPFIX) 格式向一组已配置的 IPFIX 收集器发送有关 LSN 事件的信息。该设备使用现有的 AppFlow 功能将 IPFIX 格式的 LSN 事件发送到 IPFIX 收集器。
基于 IPFIX 的日志记录可用于以下与 NAT64 相关的事件:
- 创建或删除 LSN 会话。
- 创建或删除 LSN 映射条目。
- 在确定性 NAT 环境中分配或取消分配端口块。
- 动态 NAT 环境中端口块的分配或取消分配。
- 每当超过订阅者会话配额时。
配置 IPFIX 日志记录之前需要考虑的几点
在开始配置 IPsec ALG 之前,请考虑以下几点:
- 您必须在 NetScaler 设备上配置 AppFlow 功能和 IPFIX 收集器。有关说明,请参阅 配置 AppFlow 功能。
配置步骤
执行以下任务,以 IPFIX 格式记录 LSN 信息:
- 在AppFlow 配置中启用 LSN 日志记录。作为 AppFlow 配置的一部分,启用 LSN 日志记录参数。
- 创建 LSN 日志配置文件。LSN 日志配置文件包含 IPFIX 参数,用于启用或禁用 IPFIX 格式的日志信息。
- 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组。将 LSN 日志配置文件绑定到一个或多个 LSN 组。与绑定的 LSN 组相关的事件将以 IPFIX 格式记录。
使用 CLI 在 AppFlow 配置中启用 LSN 登录
在命令提示符下,键入:
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
要使用 CliaT 命令提示符创建 LSN 日志配置文件,请键入
在命令提示符下,键入:
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
使用 CLI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组
在命令提示符下,键入:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
使用 GUI 创建 LSN 日志配置文件
导航到“系统”>“大规模 NAT”>“配置文件”,单击“日志”选项卡,然后添加日志配置文件。
使用 GUI 将 LSN 日志配置文件绑定到 LSN 配置的 LSN 组
- 导航到 系统 > 大规模 NAT > LSN 组, 打开 LSN 组。
- 在 高级设置中, 单击 + 日志配置文件 将创建的日志配置文件绑定到 LSN 组。