Paramètres de l’application et du DNS

Cette section permet aux utilisateurs de définir des applications personnalisées, de regrouper des applications à utiliser dans des stratégies, des profils QoS et des paramètres DNS.

Vous pouvez définir un groupe d’applications pour les applications prédéfinies et personnalisées. Un groupe d’applications contient des applications qui nécessitent un traitement similaire lors de la définition d’une stratégie de sécurité.

Vous pouvez réutiliser fréquemment les groupes d’applications lorsque vous définissez des stratégies telles que la direction d’application ou les règles de pare-feu. Il élimine le besoin de créer plusieurs entrées pour chaque application individuelle. De même, lors de l’utilisation de tous les services d’application, Groupes d’applications prend en charge les applications courantes avec un nom unique pour une réutilisation simplifiée et cohérente.

Pour afficher les paramètres Applications et DNS, accédez à Configuration > Paramètres de l’application et du DNS.

Paramètres de l’application

Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (DPI) pour identifier et classer les applications. La bibliothèque DPI reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière.

DPI est activé globalement, par défaut, pour tous les sites de votre réseau. La désactivation de DPI arrête la capacité de classification PPP sur l’appliance. Vous ne pouvez plus utiliser les catégories d’application/applications classées PPP pour configurer des stratégies de pare-feu, de QoS et de routage. Vous ne pourrez pas non plus afficher le rapport sur les applications et les catégories d’applications les plus populaires.

Pour désactiver le DPI global, au niveau du réseau, accédez à Configuration > Paramètres App & DNS > Paramètres de l’application et désactivez la case à cocher Activer PPP global.

Paramètres de l'application

Vous pouvez également choisir de désactiver les PPP pour certains sites uniquement en écrasant les paramètres DPI globaux. Pour désactiver les PPP pour les sites sélectionnés, ajoutez les sites à la liste Remplacer le site.

Application personnalisée

Les applications personnalisées sont utilisées pour créer des applications internes ou des combinaisons de ports IP qui ne sont pas disponibles dans la liste des applications publiées. L’administrateur doit définir une application personnalisée qui peut être utilisée dans plusieurs stratégies si nécessaire, sans renvoyer les détails de l’adresse IP et du numéro de port à chaque fois.

L’administrateur peut définir une application personnalisée en fonction du protocole IP ou du nom de domaine.

Pour créer une application personnalisée à l’aide d’un protocole IP, cliquez sur + Application personnalisée et indiquez un nom pour l’application personnalisée. Spécifiez les critères de correspondance tels que le protocole IP, l’adresse IP réseau, le numéro de port et la balise DSCP. Le flux de données correspondant à ce critère est regroupé en tant qu’application personnalisée.

DNS d'application

Une fois enregistrées, les applications personnalisées apparaissent dans une liste et peuvent être modifiées ou supprimées, selon les besoins.

Vous pouvez également regrouper plusieurs noms de domaine en tant qu’application. Pour créer des applications personnalisées basées sur un nom de domaine, sélectionnez Domain Name Based. Entrez le nom de l’application et les noms de domaine ou modèles requis. Vous pouvez entrer le nom de domaine complet ou utiliser des caractères génériques au début. Par exemple - *.google.com.

Domaines

Toutes les applications personnalisées basées sur des noms de domaine sont visibles dans Routage des applications, Règle d’application et Profils de pare-feu.

Remarque

Pour utiliser une application basée sur un nom personnalisé, les critères de correspondance doivent être répertoriés comme Application lors de la création de la stratégie Route d’application et de pare-feu.

Une fois l’application personnalisée créée, pour effectuer le routage de l’application, accédez à Routage > Stratégies de routage > + Route d’application, sélectionnez l’application personnalisée dans la liste déroulante Application.

Application personnalisée de routage des applications

Vous pouvez également sélectionner l’application personnalisée basée sur DNS sous les critères de correspondance d’une application personnalisée IP Protocol.

Application personnalisée du protocole IP

De même, pour afficher l’application personnalisée sous Profils de pare-feu, accédez à Sécurité > Profils de pare-feu. L’application peut être utilisée pour tout type de profil (remplacement global/Spécificité du site/Profils globaux). Cliquez sur Créer une nouvelle règle sous Règles de pare-feu > Correspondre aux critères > sélectionnez l’application personnalisée dans la liste déroulante Application.

Application personnalisée de profil de pare-feu

Vous pouvez afficher les applications personnalisées basées sur DNS à la fois sous Règle globale ou spécifique au site/groupe. Pour afficher l’application personnalisée sous Règle d’application, accédez à QoS > Stratégies QoS > Règles globales > Règle d’application > sous Critères de correspondance d’application, sélectionnez l’application personnalisée dans la liste liste déroulante Application.

Application personnalisée de règle d'application

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Groupes d’applications

Un groupe d’applications aide les administrateurs à regrouper des applications similaires pour les utiliser dans des stratégies communes, sans nécessairement avoir à créer une stratégie pour chaque application individuelle.

Groupe d'applications

Vous pouvez créer un groupe d’applications à l’aide de l’option Ajouter des groupes d’applications. Vous pouvez référer le même groupe d’applications lors de la création d’une stratégie conformément au rôle d’application. La stratégie définie pour le groupe particulier est appliquée à chaque application correspondant à la catégorie spécifique.

Par exemple, vous pouvez créer un groupe d’applications en tant que réseau social et ajouter des réseaux sociaux tels que Facebook, LinkedIn et Twitter au groupe afin de définir certaines stratégies pour les applications de réseautage social.

Pour créer un groupe d’applications, spécifiez un nom de groupe, recherchez et ajoutez des applications dans la liste Applications. Vous pouvez toujours revenir en arrière et modifier vos paramètres ou supprimer le groupe d’applications selon vos besoins.

Groupe d'applications

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Profils de qualité des applications

Cette section vous permet d’afficher et de créer des profils de qualité d’application.

Profil de qualité de l'application

Application QoE est une mesure de la qualité d’expérience des applications dans le réseau SD-WAN. Il mesure la qualité des applications qui circulent à travers les chemins virtuels entre deux appliances SD-WAN.

Le score QoE de l’application est une valeur comprise entre 0 et 10. La plage de score dans laquelle elle se trouve détermine la qualité d’une application.

Qualité Plage
Good 8–10
Fair 4–8
Poor 0–4

Le score QoE de l’application peut être utilisé pour mesurer la qualité des applications et identifier les tendances problématiques.

Configuration du profil

Cliquez sur + Profil QoE pour créer un profil QoE, spécifier un nom de profil et sélectionner un type de trafic dans la liste déroulante.

Profil QoE

Configuration en temps réel

Vous pouvez définir les seuils de qualité pour les appliances interactives et en temps réel à l’aide de profils QoE, et mapper ces profils avec des applications ou des objets d’applications.

Le calcul de QoE d’application pour les applications en temps réel utilise une technique innovante Citrix, qui est dérivée du score MOS.

Les valeurs de seuil par défaut sont les suivantes :

  • Seuil de latence (ms) : 160
  • Seuil de gigue (ms) : 30
  • Seuil de perte de paquets ( %) : 2

Un flux d’une application en temps réel qui respecte les seuils de latence, de perte et de gigue est considéré comme de bonne qualité.

La QoE pour les applications en temps réel est déterminée à partir du pourcentage de flux qui atteignent le seuil divisé par le nombre total d’échantillons de flux.

QoE pour temps réel = (Nombre d’échantillons de débit qui atteignent le seuil/Nombre total d’échantillons de débit) * 100

Il est représenté par un score QoE allant de 0 à 10.

Configuration interactive

La QoE des applications pour les applications interactives utilise une technique innovante Citrix basée sur les seuils de perte de paquets et de taux de rafale.

Les applications interactives sont sensibles à la perte de paquets et au débit. Par conséquent, nous mesurons le pourcentage de perte de paquets et le taux d’éclatement du trafic d’entrée et de sortie dans un flux.

Les seuils configurables sont :

  • Pourcentage de perte de paquets.
  • Pourcentage du taux d’éclatement prévu par rapport au taux d’éclatement d’entrée.

Les valeurs de seuil par défaut sont les suivantes :

  • Seuil de perte de paquets : 1%
  • Taux d’éclatement : 60%

Un flux est de bonne qualité si les conditions suivantes sont remplies :

  • Le pourcentage de perte pour un flux est inférieur au seuil configuré.

  • Le taux de rafale de sortie est au moins le pourcentage configuré du taux de rafale d’entrée.

Configuration de la qualité des applications

Mappez des objets d’application ou d’application à des profils QoE par défaut ou personnalisés. Vous pouvez créer des profils QoE personnalisés pour un trafic interactif et en temps réel.

Cliquez sur +QoE Configuration pour créer des profils QoE personnalisés :

  • Type : sélectionnez l’application PPP ou un objet d’application (Application, Applications d’application et Groupes d’applications).
  • Application : Recherchez et sélectionnez une application ou un objet d’application en fonction du type sélectionné.
  • Profil QoE : sélectionnez un profil QoE à mapper à l’application ou à l’objet de l’application.

Configuration de la qualité de l'application

Cliquez sur Terminé.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

serveurs DNS

Vous pouvez configurer des serveurs DNS spécifiques vers lesquels les demandes DNS sont acheminées.

Entrez un nom pour le serveur DNS et spécifiez les adresses IP du serveur DNS principal et secondaire. Vous pouvez créer interne, FAI, google ou tout autre service DNS open source.

Serveur DNS

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Config automatique du proxy

Avec l’adoption croissante d’applications SaaS stratégiques et d’une main-d’œuvre répartie, il devient essentiel de réduire la latence et la congestion. La latence et la congestion sont inhérentes aux méthodes traditionnelles de réacheminement du trafic via le datacenter. Citrix SD-WAN permet de router le trafic Internet via le réseau local pour des applications SaaS telles qu’Office 365. Pour plus d’informations, consultez Optimisation Office 365.

Si des proxys Web explicites sont configurés sur le déploiement d’entreprise, tout le trafic est dirigé vers le proxy Web, ce qui rend difficile la classification et l’accès direct à Internet. La solution consiste à exclure le trafic d’applications SaaS de l’obtention d’un proxy en personnalisant le fichier PAC (Proxy Auto-Config) d’entreprise.

Citrix SD-WAN 11.0 permet de contourner le proxy et de déconnecter Internet local pour le trafic des applications Office 365 en générant et en servant dynamiquement un fichier PAC personnalisé. Le fichier PAC est une fonction JavaScript qui définit si les requêtes du navigateur Web vont directement à la destination ou à un serveur proxy Web.

Fonctionnement de la personnalisation des fichiers PAC

Idéalement, le fichier PAC hôte réseau d’entreprise sur le serveur Web interne, ces paramètres proxy sont distribués via la stratégie de groupe. Le navigateur client demande des fichiers PAC du serveur Web d’entreprise. L’appliance Citrix SD-WAN sert les fichiers PAC personnalisés pour les sites où la panne Office 365 est activée.

Personnalisation des fichiers PAC

  1. Citrix SD-WAN demande et récupère périodiquement la dernière copie du fichier PAC d’entreprise à partir du serveur Web d’entreprise. L’appliance Citrix SD-WAN corrige les URL Office 365 vers le fichier PAC d’entreprise. Le fichier PAC d’entreprise devrait avoir un espace réservé (balise spécifique au SD-WAN) dans lequel les URL Office 365 sont corrigées de façon transparente.

  2. Le navigateur client déclenche une demande DNS pour l’hôte de fichier PAC d’entreprise. Citrix SD-WAN intercepte la demande pour le fichier de configuration du proxy FQDN et répond avec le VIP Citrix SD-WAN.

  3. Le navigateur client demande le fichier PAC. L’appliance Citrix SD-WAN sert le fichier PAC corrigé localement. Le fichier PAC inclut la configuration du proxy d’entreprise et les stratégies d’exclusion d’URL Office 365.

  4. À la réception d’une demande pour l’application Office 365, l’appliance Citrix SD-WAN effectue une sortie Internet directe.

Conditions préalables

  1. Les entreprises doivent disposer d’un fichier PAC hébergé.

  2. Le fichier PAC doit avoir un espace réservé SDWAN_TAG ou une occurrence de la fonction findproxyforurl pour patcher les URL Office 365.

  3. L’URL du fichier PAC doit être basée sur le domaine et non sur IP.

  4. Le fichier PAC est servi uniquement sur les VIP d’identité approuvés.

  5. L’appliance Citrix SD-WAN doit pouvoir télécharger le fichier PAC d’entreprise via son interface de gestion.

Configurer la configuration automatique du proxy

Dans l’interface utilisateur SD-WAN Orchestartor, au niveau du réseau, accédez à Configuration > Paramètres d’application et DNS > Config automatique du proxy et cliquez sur + profil de fichier PAC.

Configuration automatique du proxy

Entrez un nom pour le profil de fichier PAC, indiquez l’URL du serveur de fichiers PAC d’entreprise. Les règles de présentation d’Office 365 sont appliquées dynamiquement au fichier PAC d’entreprise.

Sélectionnez les sites auxquels le profil de fichier PAC est appliqué. S’il existe différentes URL pour chaque site, créez un profil différent par site.

Limitations

  • Les requêtes du serveur de fichiers PAC HTTPS ne sont pas prises en charge.

  • Plusieurs fichiers PAC dans un réseau ne sont pas pris en charge, y compris les fichiers PAC pour les domaines de routage ou les zones de sécurité.

  • La génération d’un fichier PAC sur Citrix SD-WAN à partir de zéro n’est pas prise en charge.

  • WPAD via DHCP n’est pas pris en charge.

Paramètres de l’application et du DNS