Configuración y grupos de aplicaciones

Esta sección permite a los usuarios definir aplicaciones personalizadas, agrupar aplicaciones para su uso en directivas, perfiles QoS y también configuración DNS.

Puede definir un grupo de aplicaciones para aplicaciones predefinidas y personalizadas. Un grupo de aplicaciones contiene aplicaciones que necesitan un tratamiento similar al definir una directiva de seguridad.

Puede reutilizar los grupos de aplicaciones con frecuencia al definir directivas, como la dirección de aplicaciones o las reglas de firewall. Elimina la necesidad de crear varias entradas para cada aplicación individual. Del mismo modo, al utilizar cualquier servicio de aplicaciones, los grupos de aplicaciones admiten aplicaciones comunes con un nombre único para una reutilización simplificada y coherente.

Para ver los grupos de aplicaciones, vaya a Configuración > Configuración y grupos de aplicaciones.

Dominios y aplicaciones

Puede crear aplicaciones internas basadas en nombres de dominio que no están disponibles en la lista de aplicaciones publicadas de la página Dominios y aplicaciones. Para crear aplicaciones basadas en el nombre de dominio, al nivel de red, vaya a Configuración y grupos de aplicaciones > Dominios y aplicaciones > ficha Aplicaciones basadas en nombres de dominio y haga clic en Nueva aplicación basada en nombres de dominio. Introduzca el nombre de la aplicación y agregue los nombres o patrones de dominio. Puede introducir el nombre de dominio completo o utilizar comodines al principio.

Todas las aplicaciones basadas en nombres de dominio están visibles en las directivas deenrutamientodeaplicaciones, reglasde aplicación y firewall.

A partir de la versión 11.4.2 de Citrix SD-WAN, la opción Configurar puertos está disponible en Aplicaciones basadas en nombres de dominio. Cuando la casilla Configurar puertos está habilitada, presenta la flexibilidad de configurar un grupo de varios puertos, rangos de puertos y un protocolo (TCP/UDP/cualquiera) para la aplicación basada en el dominio.

Anteriormente, los puertos 80 y 443y el protocolo Any eran compatibles con los dominios agrupados en una aplicación. Puede ver el mismo comportamiento si la casilla Configurar puertos está desactivada. De forma predeterminada, la casilla Configurar puertos está inhabilitada.

Al seleccionar la casilla Configurar puerto, puede modificar, agregar o eliminar cualquier puerto o rango de puertos según sea necesario, junto con la selección de protocolos como TCP, UDP o Cualquiera. De forma predeterminada, el valor del protocolo se establece en Cualquiera y los puertos se establecen en 80 y 443.

También puede ver la lista de aplicaciones predefinidas en la ficha Aplicaciones preclasificadas. Puede buscar una aplicación específica mediante la barra de búsqueda o filtrar la lista según la familia de aplicaciones.

Aplicación personalizada

Las aplicaciones personalizadas se utilizan para crear aplicaciones internas o combinaciones de puertos IP que no están disponibles en la lista de aplicaciones publicadas. El administrador debe definir una aplicación personalizada basada en el protocolo IP que se pueda utilizar en varias directivas según sea necesario, sin consultar los detalles de la dirección IP y el número de puerto cada vez.

Para crear una aplicación personalizada, en el nivel de red, vaya a Configuración y grupos de aplicaciones > Aplicaciones personalizadas, haga clic en + Aplicación personalizada y escriba un nombre para la aplicación personalizada. Especifique los criterios de coincidencia, como el protocolo IP, la dirección IP de la red, el número de puerto y la etiqueta DSCP. El flujo de datos que coincide con este criterio se agrupa como la aplicación personalizada.

Una vez guardadas, las aplicaciones personalizadas aparecen en una lista y se pueden modificar o eliminar, según sea necesario.

Se agrega la casilla de verificación Habilitar informes para las aplicaciones y grupos de aplicaciones personalizados basados en el protocolo IP. Debe seleccionar la casilla Activar informes e indicar la prioridad de los informes.

Cuando se selecciona la casilla Habilitar informes, puede ver el tráfico de la aplicación IP personalizada en Informes > Uso.

La prioridad de los informes es el orden en que se seleccionan las aplicaciones o grupos de aplicaciones personalizados basados en el protocolo IP para los informes. Es útil elegir la aplicación personalizada de alta prioridad o el grupo de aplicaciones para la elaboración de informes, cuando hay varias coincidencias con la generación de informes habilitada. Por ejemplo, si la prioridad de informes de una aplicación personalizada se establece en 1, significa que la aplicación personalizada tiene la prioridad más alta en los informes. Mientras que si la prioridad de informes se establece en 100, la aplicación personalizada tiene una prioridad mucho menor en los informes.

Nota

• Para utilizar una aplicación basada en nombres de dominio, las aplicaciones y los dominios deben figurar como criterios de coincidencia al crear la ruta de la aplicación, la directiva de QoS y la directiva de firewall.
• Para utilizar una aplicación personalizada, la aplicación personalizada debe figurar como criterio de coincidencia al crear la ruta de la aplicación, la directiva de QoS y la directiva de firewall.

Una vez que haya creado la aplicación personalizada, para realizar el enrutamiento de la aplicación, vaya a Enrutamiento > Directivas de enrutamiento > + Ruta de aplicacióny seleccione Aplicación personalizada en la lista desplegable Tipo de coincidencia. Del mismo modo, para la aplicación basada en nombres de dominio, seleccione Aplicaciones y dominios en la lista desplegable Tipo de coincidencia.

También puede seleccionar una aplicación basada en nombres de dominio según los criterios de coincidencia al crear una aplicación personalizada de protocolo IP.

Del mismo modo, para ver la aplicación personalizada en las Directivas de firewall, vaya a Seguridad > Directivas de firewall. La aplicación se puede utilizar para cualquier tipo de directiva (anulación global/directivas específicas del sitio/directivas globales). Haga clic en Crear nueva regla y, en Criterios de coincidencia, seleccione Aplicación personalizada en la lista desplegable Tipo de coincidencia. Para ver la aplicación basada en nombres de dominio, seleccione Aplicaciones y dominios en la lista desplegable Tipo de coincidencia.

Puede ver las aplicaciones personalizadas basadas en nombres de dominio tanto en la regla global como en la regla específica del sitio o grupo. Para ver las aplicaciones basadas en nombres de dominio, vaya a QoS > Directivas de QoS > Reglas globales > Regla de aplicación > + Reglade aplicación y seleccione la aplicación basada en nombres de dominio requerida en la lista desplegable Aplicaciones y dominios. Para ver las aplicaciones personalizadas, vaya a QoS > Directivas de QoS > Reglas globales > Reglas de aplicación personalizadas > + Regla de aplicaciónpersonalizada y seleccione la aplicación personalizada requerida en la lista desplegable Aplicaciones personalizadas.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Grupos de aplicaciones

Un grupo de aplicaciones ayuda a los administradores a agrupar aplicaciones similares para usarlas en directivas comunes, sin tener que crear necesariamente una directiva para cada aplicación individual.

Puede crear un grupo de aplicaciones mediante la opción Agregar grupos de aplicaciones. Puede hacer referencia al mismo grupo de aplicaciones mientras crea una directiva según el rol de aplicación. La directiva que se define para el grupo en particular se aplica a cada aplicación que coincida con la categoría específica.

Por ejemplo, puede crear un grupo de aplicaciones como redes sociales y agregar redes sociales como Facebook, LinkedIn y Twitter al grupo para definir determinadas directivas para las aplicaciones de redes sociales.

Para crear un grupo de aplicaciones, especifique un nombre de grupo, busque y agregue aplicaciones en la lista de aplicaciones. Siempre puede volver atrás y modificar su configuración o eliminar el grupo de aplicaciones según sea necesario.

Haga clic en Verificar configuración en la página Configuración > Configuración y grupos de aplicaciones > Grupos de aplicaciones para validar cualquier error de auditoría.

Perfiles de calidad de aplicaciones

Esta sección permite ver y crear perfiles de calidad de aplicaciones.

LaQoE de la aplicación es una medida de calidad de experiencia de aplicaciones en la red SD-WAN. Mide la calidad de las aplicaciones que fluyen por las rutas virtuales entre dos dispositivos SD-WAN.

La puntuación QoE de la aplicación es un valor entre 0 y 10. El rango de puntuación en el que cae determina la calidad de una aplicación.

La puntuación QoE de la aplicación se puede utilizar para medir la calidad de las aplicaciones e identificar tendencias problemáticas.

Configuración del perfil

Haga clic en + Perfil de QoE para crear un perfil de QoE, especificar un nombre de perfil y seleccionar un tipo de tráfico de la lista desplegable.

Configuración en tiempo real

Puede definir los umbrales de calidad de los dispositivos interactivos y en tiempo real mediante perfiles QoE y asignar estos perfiles a aplicaciones u objetos de aplicaciones.

El cálculo de QoE de la aplicación para aplicaciones en tiempo real utiliza una técnica innovadora de Citrix, que se deriva de la puntuación MOS.

Los valores de umbral predeterminados son:

• Umbral de latencia (ms): 160
• Umbral de fluctuación (ms): 30
• Umbral de pérdida de paquetes (%): 2

Un flujo de una aplicación en tiempo real que cumple los umbrales de latencia, pérdida y fluctuación se considera de buena calidad.

La QoE para aplicaciones en tiempo real se determina a partir del porcentaje de flujos que cumplen el umbral dividido por el número total de muestras de flujo.

QoE para tiempo real = (Número de muestras de flujo que cumplen el umbral/Número total de muestras de flujo) * 100

Se representa como puntuación QoE que va de 0 a 10.

Configuración interactiva

La QoE de aplicaciones para aplicaciones interactivas utiliza una técnica innovadora de Citrix basada en umbrales de pérdida de paquetes y velocidad de ráfaga.

Las aplicaciones interactivas son sensibles a la pérdida de paquetes y al rendimiento. Por lo tanto, medimos el porcentaje de pérdida de paquetes y la tasa de ráfagas del tráfico de entrada y salida en un flujo.

Los umbrales configurables son:

• Porcentaje de pérdida de paquetes.
• Porcentaje de la tasa de ráfaga de salida esperada en comparación con la tasa de ráfaga de entrada.

Los valores de umbral predeterminados son:

• Umbral de pérdida de paquetes: 1%
• Velocidad de ráfaga: 60%

Un flujo es de buena calidad si se cumplen las siguientes condiciones:

• El porcentaje de pérdida de un flujo es inferior al umbral configurado.

• La velocidad de ráfaga de salida es al menos el porcentaje configurado de la velocidad de ráfaga de entrada.

Configuración de calidad de las aplicaciones

Asigne objetos de aplicación o aplicación a perfiles QoE predeterminados o personalizados. Puede crear perfiles de QoE personalizados para el tráfico en tiempo real e interactivo.

Haga clic en +Configuración de QoE para crear perfiles de QoE personalizados:

• Tipo: Seleccione la aplicación de DPI o un objeto de aplicación (aplicación, aplicaciones personalizadas y grupos de aplicaciones).
• Aplicación: busque y seleccione una aplicación u objeto de aplicación según el tipo seleccionado.
• Perfil QoE: Seleccione un perfil QoE para asignarlo a la aplicación o al objeto de aplicación.

Haga clic en Listo.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Una vez que configure la QoE de la aplicación con el tipo de aplicación personalizado, se generará automáticamente un cuadro de informe de aplicación correspondiente en Informes > Calidad de la aplicación. Todo el tráfico que coincida con la aplicación seleccionada pasa por la ruta virtual de la aplicación personalizada.

Configuración automática del proxy

Con el aumento de la adopción empresarial de aplicaciones SaaS de misión crítica y de personal distribuido, resulta muy importante reducir la latencia y la congestión. La latencia y la congestión son inherentes a los métodos tradicionales de backhauling del tráfico a través del centro de datos. Citrix SD-WAN permite una salida directa a Internet de aplicaciones SaaS como Office 365. Para obtener más información, consulte Optimización de Office 365.

Si hay proxies web explícitos configurados en la implementación empresarial, todo el tráfico se dirige al proxy web, lo que dificulta la clasificación y la ruptura directa de Internet. La solución consiste en excluir el tráfico de aplicaciones SaaS de ser proxy mediante la personalización del archivo PAC (Proxy Auto-Config) empresarial.

Citrix SD-WAN 11.0 permite la omisión de proxy y la interrupción local de Internet para el tráfico de aplicaciones de Office 365 generando y sirviendo dinámicamente un archivo PAC personalizado. El archivo PAC es una función JavaScript que define si las solicitudes del explorador web van directamente al destino o a un servidor proxy web.

Cómo funciona la personalización de archivos PAC

Idealmente, el archivo PAC del host de red empresarial en el servidor web interno, esta configuración de proxy se distribuye mediante la directiva de grupo. El explorador cliente solicita archivos PAC del servidor web empresarial. El dispositivo Citrix SD-WAN sirve los archivos PAC personalizados para los sitios en los que está habilitado el breakout de Office 365.

1. Citrix SD-WAN solicita y recupera periódicamente la última copia del archivo PAC empresarial del servidor web empresarial. El dispositivo Citrix SD-WAN parchea las URL de office 365 en el archivo PAC empresarial. Se espera que el archivo PAC empresarial tenga un marcador de posición (etiqueta específica de SD-WAN) en el que las URL de Office 365 se parchean sin problemas.

2. El explorador de cliente genera una solicitud DNS para el host de archivo PAC de empresa. Citrix SD-WAN intercepta la solicitud del FQDN del archivo de configuración del proxy y responde con el VIP de Citrix SD-WAN.

3. El explorador del cliente solicita el archivo PAC. El dispositivo Citrix SD-WAN sirve el archivo PAC parcheado localmente. El archivo PAC incluye la configuración del proxy empresarial y las directivas de exclusión de URL de Office 365.

4. Al recibir una solicitud para la aplicación Office 365, el dispositivo Citrix SD-WAN realiza una interrupción directa de Internet.

Requisitos previos

1. Las empresas deben tener un archivo PAC alojado.

2. El archivo PAC debe tener un marcador de posición SDWAN_TAG o una aparición de la función findproxyforurl para parchear las URL de Office 365.

3. La dirección URL del archivo PAC debe estar basada en dominios y no basada en IP.

4. El archivo PAC solo se sirve a través de los VIP de identidad de confianza.

5. El dispositivo Citrix SD-WAN debe poder descargar el archivo PAC empresarial a través de su interfaz de administración.

Configurar configuración automática del proxy

En la interfaz de usuario del servicio Citrix SD-WAN Orchestrator, al nivel de red, vaya a Configuración > Configuración de aplicaciones y grupos > Configuración automática de proxy y haga clic en + perfil de archivo PAC.

Introduzca un nombre para el perfil de archivo PAC, proporcione la dirección URL del servidor de archivos PAC de empresa. Las reglas de grupo de Office 365 se aplican de forma dinámica al archivo PAC de empresa.

Seleccione los sitios a los que se aplica el perfil del archivo PAC. Si hay direcciones URL diferentes para cada sitio, cree un perfil diferente por sitio.

Limitaciones

• No se admiten las solicitudes del servidor de archivos HTTPS PAC.

• No se admiten varios archivos PAC de una red, incluidos los archivos PAC para dominios de redirección o zonas de seguridad.

• No se admite la generación de un archivo PAC en Citrix SD-WAN desde cero.

• WPAD a través de DHCP no es compatible.

Parámetros de PPP

Los dispositivos Citrix SD-WAN realizan la inspección profunda de paquetes (PPP) para identificar y clasificar aplicaciones. La biblioteca del DIP reconoce miles de aplicaciones comerciales. Permite el descubrimiento y la clasificación de aplicaciones en tiempo real. Mediante la tecnología PPP, el dispositivo SD-WAN analiza los paquetes entrantes y clasifica el tráfico como perteneciente a una aplicación o familia de aplicaciones en particular.

PPP está habilitado globalmente, de forma predeterminada, para todos los sitios de la red. La inhabilitación de PPP detiene la capacidad de clasificación de PPP en el dispositivo. Ya no puede utilizar las categorías de aplicaciones o aplicaciones clasificadas por PPP para configurar directivas de firewall, QoS y enrutamiento. Tampoco podrá ver el informe de aplicaciones y categorías de aplicaciones principales.

Para inhabilitar el DPI global, en el nivel de red, vaya a Configuración > Configuración y grupos de aplicaciones > Configuración de DPI y desactive la opción Habilitar DPI global.

También puede optar por inhabilitar PPP para determinados sitios solo si se anula la configuración global de PPP. Para inhabilitar el DPI en los sitios seleccionados, agregue los sitios a la lista de modificaciones de sitios.