Documentación de productos
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Ver PDF

Clasificación de aplicaciones

October 27, 2021
Contribución de: 
C

Los dispositivos Citrix SD-WAN realizan una inspección profunda de paquetes (PPP) para identificar y clasificar aplicaciones mediante las siguientes técnicas:

  • Clasificación de bibliotecas de DPI
  • Clasificación de arquitectura informática independiente (ICA) propiedad de Citrix
  • API de proveedores de aplicaciones (por ejemplo, API REST de Microsoft para Office 365)
  • Clasificación de aplicaciones basada en nombres de dominio

Clasificación de bibliotecas de DPI

La biblioteca Deep Packet Inspection (DPI) reconoce miles de aplicaciones comerciales. Permite el descubrimiento y la clasificación de aplicaciones en tiempo real. Mediante la tecnología DPI, el dispositivo SD-WAN analiza los paquetes entrantes y clasifica el tráfico como perteneciente a una aplicación o familia de aplicaciones en particular. La clasificación de aplicaciones para cada conexión requiere algunos paquetes.

Para habilitar la clasificación de bibliotecas de PPP, en el Editor de configuración, vaya a Global > Aplicaciones > Configuración de PPP y marque la casilla Habilitar inspección profunda de paquetes.

Clasificación ICA

Los dispositivos Citrix SD-WAN también pueden identificar y clasificar el tráfico de Citrix HDX para aplicaciones virtuales y escritorios. Citrix SD-WAN reconoce las siguientes variaciones del protocolo ICA:

  • ICA
  • ICA-CGP
  • ICA de flujo único (SSI)
  • ICA multisecuencia (MSI)
  • ICA a través de TCP
  • ICA sobre UDP/EDT
  • ICA a través de puertos no estándar (incluida ICA multipuerto)
  • Transporte adaptable HDX
  • ICA sobre WebSocket (usado por HTML5 Receiver)

Nota

La clasificación del tráfico ICA entregado a través de SSL/TLS o DTLS no se admite en SD-WAN Standard Edition, pero sí en SD-WAN Premium Edition y SD-WAN WANOP Edition.

La clasificación del tráfico de red se realiza durante las conexiones iniciales o el establecimiento del flujo. Por lo tanto, las conexiones preexistentes no se clasifican como ICA. La clasificación de las conexiones también se pierde cuando la tabla de conexiones se borra manualmente.

El tráfico Framehawk y Audio-over-UDP/RTP no se clasifican como aplicaciones HDX. Se informan como “UDP” o “Protocolo desconocido”. “

Desde la versión 10 versión 1, el dispositivo SD-WAN puede diferenciar cada flujo de datos ICA en ICA multisecuencia, incluso en una configuración de puerto único. Cada secuencia ICA se clasifica como una aplicación independiente con su propia clase QoS predeterminada para la priorización.

  • Para que la funcionalidad ICA multisecuencia funcione correctamente, debe tener SD-WAN Standard Edition 10.1 o superior, o SD-WAN Premium Edition.

  • Para que los informes basados en usuarios de HDX se muestren en SDWAN-Center, debe tener SD-WAN Standard Edition o Premium Edition 11.0 o superior.

Requisitos mínimos de software para el canal virtual de información HDX:

  • Versión actual de Citrix Virtual Apps and Desktops (anteriormente XenApp y XenDesktop), ya que la funcionalidad necesaria se introdujo en XenApp y XenDesktop 7.17 y no está incluida en la versión 7.15 de servicio a largo plazo.

  • Versión de la aplicación Citrix Workspace (o de su predecesora, Citrix Receiver) que admite ICA multi-stream y el canal virtual de información HDX Insights, CTXNSAP. Busque HDX Insight con NSAP VC y ICA multipuerto/multisecuencia en la tabla de funciones de la aplicación Citrix Workspace. Consulte las versiones de lanzamiento compatibles actualmente en HDX Insights.

  • A partir de la versión 11.2, la duplicación de paquetes ahora está habilitada de forma predeterminada para el tráfico HDX en tiempo real cuando se usa ICA multisecuencia.

Una vez clasificada, la aplicación ICA se puede utilizar en reglas de aplicación y para ver estadísticas de aplicación similares a otras aplicaciones clasificadas.

Hay cinco reglas de aplicación predeterminadas para las aplicaciones ICA, una cada una para las siguientes etiquetas de prioridad:

  • Arquitectura informática independiente (Citrix) (ICA)
  • ICA en tiempo real (ica_priority_0)
  • ICA interactiva (ica_priority_1)
  • Transferencia masiva ICA (ica_prority_2)
  • Fondo ICA (ica_priority_3)

Para obtener más información, consulte Reglas por nombre de aplicación

Si está ejecutando una combinación de software que no admite Multi-Stream ICA en un solo puerto, entonces para realizar QoS debe configurar varios puertos, uno para cada secuencia ICA. Para clasificar HDX en puertos no estándar tal y como se configura en la directiva de servidor XA/XD, debe agregar esos puertos en configuraciones de puertos ICA. Además, para hacer coincidir el tráfico en esos puertos con las reglas IP válidas, debe actualizar las reglas IP de ICA.

En ICA IP y lista de puertos puede especificar puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. La dirección IP se utiliza para restringir aún más los puertos a un destino específico. Utilice ‘*’ para el puerto destinado a cualquier dirección IP. La dirección IP con combinación de puerto SSL también se utiliza para indicar que el tráfico es probable ICA aunque el tráfico no se clasifica finalmente como ICA. Esta indicación se utiliza para enviar registros L4 AppFlow para admitir informes de saltos múltiples en Citrix Application Delivery Management.

Para habilitar la clasificación basada en ICA, en el Editor de configuración, vaya a Global > Aplicaciones > Configuración de PPP y marque la casilla Habilitar inspección profunda de paquetes para aplicaciones Citrix ICA.

Clasificación basada en API de proveedores de aplicaciones

Citrix SD-WAN admite la siguiente clasificación basada en API de proveedor de aplicaciones:

Clasificación de aplicaciones basada en nombres de dominio

El motor de clasificación de DPI se ha mejorado para clasificar las aplicaciones en función del nombre de dominio y los patrones. Una vez que el reenviador DNS intercepta y analiza las solicitudes DNS, el motor de PPP utiliza el clasificador IP para realizar la primera clasificación de paquetes. Se realizan más bibliotecas de PPP y clasificación ICA y se anexa el ID de aplicación basado en nombres de dominio.

La función de aplicación basada en nombres de dominio permite agrupar varios nombres de dominio y tratarlos como una única aplicación. Facilita la aplicación de firewall, dirección de aplicaciones, QoS y otras reglas. Se pueden configurar un máximo de 64 aplicaciones basadas en nombres de dominio.

Para definir aplicaciones basadas en nombres de dominio, en el Editor de configuración, vaya a Global > Aplicaciones > Aplicacionesbasadas en nombres de dominio. Introduzca el nombre de una aplicación y agregue los nombres de dominio o patrones necesarios. Puede introducir el nombre de dominio completo o utilizar comodines al principio. Se permiten los siguientes formatos de nombres de dominio:

  • ejemplo.com
  • *.ejemplo.com

Aplicaciones basadas en nombres de dominio

Las aplicaciones basadas en nombres de dominio clasificados se utilizan para configurar lo siguiente:

Limitaciones

  • Si no hay solicitud/respuesta DNS correspondiente a una aplicación basada en nombres de dominio, el motor DPI no clasifica la aplicación basada en nombres de dominio y, por lo tanto, no aplica las reglas de aplicación correspondientes a la aplicación basada en nombres de dominio.
  • Si se crea un objeto de aplicación de forma que el intervalo de puertos incluya el puerto 80 y/o el puerto 443, con un tipo de coincidencia de dirección IP específico que corresponde a una aplicación basada en nombres de dominio, el motor DPI no clasifica la aplicación basada en nombres de dominio.
  • Si se configuran proxies web explícitos, debe agregar todos los patrones de nombres de dominio al archivo PAC, para asegurarse de que la respuesta DNS no siempre devuelve la misma dirección IP.
  • Las clasificaciones de aplicaciones basadas en nombres de dominio se restablecen al actualizar la configuración. La reclasificación se realiza en función de las técnicas de clasificación de versiones anteriores a 11.0.2, como la clasificación de bibliotecas DPI, la clasificación ICA y la clasificación basada en API de aplicaciones de proveedores.
  • Las firmas de aplicación aprendidas (direcciones IP de destino) por clasificación de aplicaciones basada en nombre de dominio se restablecen al actualizar la configuración.
  • Solo se procesan las consultas DNS estándar y sus respuestas.
  • No se admiten registros AAAA o registros IPv6.
  • Los registros de respuesta DNS divididos en varios paquetes no se procesan. Solo se procesan las respuestas DNS de un solo paquete.
  • No se admite DNS a través de TCP.
  • Solo los dominios de nivel superior se admiten como patrones de nombres de dominio.

Clasificación del tráfico cifrado

El dispositivo Citrix SD-WAN detecta e informa sobre el tráfico cifrado, como parte de los informes de aplicaciones, mediante los dos métodos siguientes:

  • Para el tráfico HTTPS, el motor de PPP inspecciona el certificado SSL para leer el nombre común, que lleva el nombre del servicio (por ejemplo, Facebook, Twitter). Según la arquitectura de la aplicación, solo se puede usar un certificado para varios tipos de servicio (por ejemplo, correo electrónico, noticias, etc.). Si distintos servicios utilizan certificados diferentes, el motor de PPP podría diferenciar entre servicios.
  • Para las aplicaciones que utilizan su propio protocolo de cifrado, el motor de PPP busca patrones binarios en los flujos; por ejemplo, en el caso de Skype, el motor de PPP busca un patrón binario dentro del certificado y determina la aplicación.

Para configurar los ajustes de clasificación de aplicaciones:

  1. En el Editor de configuración, haga clic en Global > Aplicaciones > Configuración.

    Parámetros de la aplicación

    Nota

    Si agrega un puerto ICA adicional para la implementación multipuerto, estos puertos deben agregarse en los clasificadores de aplicaciones de optimización de Wan. De lo contrario, el tráfico en los tres puertos adicionales no se reenviará a WANOP. Solo se reenvía el puerto predeterminado 2598 si ICA está configurado para optimizar.

    Clasificador de aplicaciones WANOP(g)

  2. Seleccione Activar inspección profunda de paquetes. Esto permite clasificar las aplicaciones en el dispositivo. Puede, ver y supervisar las estadísticas de aplicaciones en SD-WAN Center. Para obtener más información, consulte Informe de aplicación.

    Nota

    De forma predeterminada, Habilitar inspección profunda de paquetes recopila estadísticas de datos clasificados.

  3. Seleccione Habilitar inspección profunda de paquetes para aplicaciones Citrix ICA. Esto permite clasificar las aplicaciones Citrix ICA y recopilar estadísticas de usuarios, sesiones y recuentos de flujos. Sin esta opción activada, es posible que parte del tipo del tráfico HDX aún se clasifique y se calcule QoE, pero las estadísticas sobre SD-WAN Center no están disponibles. Puede, ver y supervisar las estadísticas de aplicaciones ICA en SD-WAN Center. Esta opción está habilitada de forma predeterminada. Para obtener más información, consulte Informes HDX.

  4. Seleccione Habilitar informes de usuario de HDX para generar informes basados en usuarios recién agregados (Resumen de HDX, Sesiones de usuario de HDX y Aplicaciones de HDX) y estos informes están disponibles en SD-WAN Center. Esto no es aplicable al informe Estadísticas del sitio HDX. Esta opción está disponible en el nivel global y de sitio similar para habilitar la opción DPI. Para habilitar los informes de usuario de HDX en el sitio, en el Editor de configuración, haga clic en Conexiones > Aplicaciones.

    Habilitar informes HDX

  5. En el puerto ICA DPI, especifique los puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. No incluya los números de puerto estándar 2598 o 1494 en esta lista, ya que ya están incluidos internamente.

  6. En IP ICA de PPP, especifique la dirección IP que se utilizará para restringir aún más los puertos a un destino específico.

    Nota

    Utilice ‘*’ para el puerto destinado a cualquier dirección IP.

  7. Haga clic en Aplicar

Puede configurar los ajustes de clasificación de aplicaciones en cada sitio de forma individual. Haga clic en Conexiones, seleccione un sitio y haga clic en Configuración de aplicaciones. También puede optar por utilizar la configuración global de la aplicación.

Aplicaciones de búsqueda

Puede buscar una aplicación para determinar el apellido de la aplicación. También se proporciona una breve descripción de la aplicación.

Para buscar una aplicación:

  1. En el Editor de configuración, haga clic en Global > Aplicaciones > Buscar.

  2. En el campo Buscar, escriba el nombre de la aplicación y haga clic en Intro.

    Aparecerá una breve descripción del nombre de la aplicación y de la familia de aplicaciones.

    Búsqueda de aplicaciones

Las siguientes funciones utilizan la aplicación como un tipo de coincidencia:

Nota

Para obtener información sobre las aplicaciones que el dispositivo SD-WAN puede identificar mediante la inspección profunda de paquetes, consulte Biblioteca de firmas de aplicaciones.

Objetos de aplicación

Los objetos de aplicación permiten agrupar diferentes tipos de criterios de coincidencia en un solo objeto que se puede utilizar en directivas de firewall y dirección de aplicaciones. Protocolo IP, aplicación y familia de aplicaciones son los tipos de coincidencia disponibles.

Las siguientes funciones utilizan el objeto de aplicación como un tipo de coincidencia:

Para crear un objeto de aplicación:

  1. En el Editor de configuración, haga clic en Global > Aplicaciones > Objetos de aplicación.

  2. Haga clic en Agregar y, en el campo Nombre, introduzca un nombre para el objeto.

    Objetos de aplicación

  3. Seleccione Habilitar informes para habilitar la visualización de informes de aplicaciones personalizados en Citrix SD-WAN Center. Para obtener más información, consulte Informe de aplicación.

  4. En el campo Prioridad, introduzca la prioridad del objeto de aplicación. Cuando los paquetes entrantes coinciden con dos o más definiciones de objetos de aplicación, se aplica el objeto de aplicación con mayor prioridad.

  5. Haga clic en + en la sección Criterios de coincidencia de aplicaciones

  6. Selecciona uno de los siguientes tipos de coincidencia:

    • Protocolo IP: especifique el protocolo, la dirección IP de la red, el número de puerto y la etiqueta DSCP.
    • Aplicación: especifique el nombre de la aplicación, la dirección IP de la red, el número de puerto y la etiqueta DSCP.
    • Familia de aplicaciones: seleccione una familia de aplicaciones y especifique la dirección IP de red, el número de puerto y la etiqueta DSCP.

  7. Haga clic en + para agregar más criterios de coincidencia de aplicaciones.

  8. Haga clic en Agregar.

Uso de la clasificación de aplicaciones con un firewall

La clasificación del tráfico como aplicaciones, familias de aplicaciones o nombres de dominio permite utilizar la aplicación, las familias de aplicaciones y los objetos de aplicación como tipos de coincidencia para filtrar el tráfico y aplicar reglas y directivas de firewall. Se aplica a todas las directivas pre, post y local. Para obtener más información sobre el firewall, consulte Firewall con estado y compatibilidad con NAT.

Clasificación de aplicaciones en firewall

Visualización de Clasificación de Aplicaciones

Después de habilitar la clasificación de aplicaciones, puede ver el nombre de la aplicación y los detalles de la familia de aplicaciones en los siguientes informes:

  • Estadísticas de conexión al firewall

  • Información sobre flujos

  • Estadísticas de aplicación

Estadísticas de conexión de firewall

En el Editor de configuración, vaya a Supervisión > Firewall. En la sección Conexiones, las columnas Aplicación y Familia muestran las aplicaciones y su familia asociada.

Conexiones de firewall con clasificación de aplicaciones

Si no habilita la clasificación de aplicaciones, las columnas Aplicación y Familia no muestran ningún dato.

Conexiones de firewall sin clasificación de aplicaciones

Información sobre flujos

En el Editor de configuración, vaya a Supervisión > Flujos. En la sección Datos de flujos, la columna Aplicación muestra los detalles de la aplicación.

Información sobre flujos

Estadísticas de aplicación

En el Editor de configuración, vaya a Supervisión > Estadísticas. En la sección Estadísticas de la aplicación, la columna Aplicación muestra los detalles de la aplicación.

Estadísticas de aplicación

Solución de problemas

Después de habilitar la clasificación de aplicaciones, puede ver los informes en la sección Supervisión y asegurarse de que muestran los detalles de la aplicación. Para obtener más información, consulte Visualización de la clasificación de aplicaciones.

Si hay algún comportamiento inesperado, recopile el paquete de diagnóstico STS mientras se observa el problema y compártelo con el equipo de soporte técnico de Citrix.

El paquete STS se puede crear y descargar mediante Configuración > Mantenimiento del sistema > Diagnóstico > Información de diagnóstico.

Clasificación de aplicaciones
October 27, 2021
Contribución de: 
C
October 27, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.