Citrix SD-WAN

Classification de l’application

Les appliances Citrix SD-WAN identifient et classent les applications à l’aide de trois techniques :

  • Inspection profonde des paquets (DPI)
  • Protocole ICA (Independent Computing Architecture) propriétaire de Citrix
  • API fournisseur d’applications (par exemple, API REST Microsoft pour Office 365)

La bibliothèque Deep Packet Inspection (DPI) reconnaît des milliers d’applications commerciales. Cela permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière. La classification des applications pour chaque connexion prend quelques paquets.

Pour activer la classification de la bibliothèque PPP, dans l’Éditeur de configuration, accédez à Global > Applications > Paramètres PPP et activez la case à cocher Activer l’inspection approfondie des paquets.

Les appliances Citrix SD-WAN peuvent également identifier et classer le trafic Citrix HDX pour les applications et les bureaux virtuels. Citrix SD-WAN reconnaît les variantes suivantes du protocole ICA :

  • ICA
  • ICA-CGP
  • ICA à flux unique (SSI)
  • ICA multiflux (MSI)
  • ICA sur TCP
  • L’ICA sur l’UDP/EDT
  • ICA sur les ports non standard (y compris ICA multi-ports)
  • Transport adaptatif HDX
  • ICA sur WebSocket (utilisé par le récepteur HTML5)

Remarque

La classification du trafic ICA monoport livré via SSL/TLS ou DTLS dans des classes distinctes basées sur la balise de priorité HDX (c’est-à-dire les flux ICA individuels) n’est pas prise en charge par SD-WAN Standard Edition, mais est prise en charge par SD-WAN Premium Edition et SD-WAN WANOP Edition.

La classification du trafic réseau se fait au cours des connexions initiales ou de l’établissement du flux. Par conséquent, les connexions préexistantes ne sont pas classées comme ICA. La classification des connexions sera également perdue lorsque la table de connexion est effacée manuellement.

Le trafic Framehawk et l’Audio-over-UDP/RTP ne sont pas classés comme des applications HDX. Ces canaux virtuels hérités sont signalés sous la forme « UDP » ou « Protocole inconnu ».«

Depuis la version 10 version 1, SD-WAN Standard Edition peut différencier chaque flux de données ICA dans ICA multi-flux, même dans une configuration monoport. Chaque flux ICA est classé comme une application distincte avec sa propre classe QoS par défaut pour la hiérarchisation.

Pour que la fonctionnalité ICA Multi-Stream à port unique fonctionne correctement, vous devez disposer des éléments suivants :

  • SD-WAN Standard Edition version 10 version 1 ou supérieure, ou SD-WAN Premium Edition.
  • Une version actuelle de Citrix Virtual Apps & Desktops (anciennement XenApp et XenDesktop), puisque la fonctionnalité requise a été introduite dans XenApp et XenDesktop 7.17 et n’est pas incluse dans la version de service à long terme 7.15.
  • Version de l’application Citrix Workspace (ou de son prédécesseur, Citrix Receiver) prenant en charge le canal virtuel d’informations HDX, CTXNSAP. Recherchez « HDX Insight with NSAP VC » dans la matrice de fonctionnalités de l’application Citrix Workspace. Consultez les versions actuellement prises en charge sur HDX Insights.

Une fois classée, l’application ICA peut être utilisée dans les règles d’application et pour afficher des statistiques de demande semblables à celles d’autres applications classifiées.

Il existe cinq règles d’application par défaut pour les applications ICA, une pour chacune des balises de priorité suivantes :

  • ICA
  • ICA en temps réel (ica_priority_0)
  • ICA Interactive (ica_priority_1)
  • Transfert en bloc ICA (ica_prority_2)
  • Contexte ICA (ica_priority_3)
  • Architecture informatique indépendante (Citrix) (ICA)

Pour plus d’informations, consultez Règles par nom d’application

Si vous exécutez une combinaison de logiciels qui ne prennent pas en charge l’ICA Multi-Stream sur un seul port, alors pour effectuer la QoS, vous devez configurer plusieurs ports, un pour chaque flux ICA.

Pour classer HDX sur des ports non standard comme configuré dans la stratégie de serveur XenApp et XenDesktop, vous devez ajouter ces ports dans les configurations de ports ICA. En outre, pour faire correspondre le trafic sur ces ports à des règles IP valides, vous devez mettre à jour les règles IP ICA.

Dans la liste IP et ports ICA, vous pouvez spécifier les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. L’adresse IP est utilisée pour restreindre davantage les ports à une destination spécifique. Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP. L’adresse IP avec une combinaison de port SSL est également utilisée pour indiquer que le trafic est probablement ICA même si le trafic n’est pas finalement classé comme ICA. Cette indication est utilisée pour envoyer des enregistrements AppFlow L4 pour prendre en charge les rapports multi-sauts dans Citrix Application Delivery Management.

Pour activer la classification basée sur ICA, dans l’Éditeur de configuration, accédez à Global > Applications > Paramètres PPP et activez la case à cocher Activer l’inspection approfondie des paquets pour les applications ICA Citrix.

Classification basée sur l’API du fournisseur d’applications

Citrix SD-WAN prend en charge la classification basée sur l’API du fournisseur d’applications suivante :

  • Office 365. Pour plus d’informations, consultez Optimisation Office 365.

Classement du trafic chiffré

L’appliance Citrix SD-WAN détecte et signale le trafic chiffré, dans le cadre des rapports d’application, selon les deux méthodes suivantes :

  • Pour le trafic HTTPS, le moteur DPI inspecte le certificat SSL pour lire le nom commun, qui porte le nom du service (par exemple - Facebook, Twitter). Selon l’architecture de l’application, un seul certificat peut être utilisé pour plusieurs types de services (par exemple, e-mail, news, etc.). Si différents services utilisent des certificats différents, le moteur DPI serait en mesure de différencier les services.
  • Pour les applications qui utilisent leur propre protocole de chiffrement, le moteur DPI recherche des modèles binaires dans les flux, par exemple dans le cas de Skype, le moteur DPI recherche un modèle binaire dans le certificat et détermine l’application.

Pour configurer les paramètres de classification des applications :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Paramètres.

Paramètres de l'application

Remarque

Si vous ajoutez un port ICA supplémentaire pour le déploiement multiport, ces ports doivent être ajoutés dans les classificateurs d’applications d’optimisation WAN. Sinon, le trafic sur les trois ports supplémentaires ne sera pas transféré à WANOP. Seul le port 2598 par défaut est transféré si ICA est configuré pour optimiser.

Classificateur d'application WANOP

  1. Sélectionnez Activer l’inspection approfondie des paquets. Cela permet de classer les applications sur l’appliance. Vous pouvez, afficher et surveiller les statistiques d’application sur le Centre SD-WAN. Pour plus d’informations, consultez Rapport sur l’application.

Remarque

Par défaut, Enable Deep Packet Inspection collecte des statistiques pour les données classifiées.

  1. Sélectionnez Activer l’inspection approfondie des paquets pour les applications ICA Citrix. Cela permet la classification des applications Citrix ICA et collecte des statistiques pour les comptes d’utilisateurs, de sessions et de flux. Sans cette option activée, une partie de la saveur du trafic HDX pourrait encore être classée et la QoE calculée, mais les statistiques sur le centre SD-WAN ne sont pas disponibles. Vous pouvez, afficher et surveiller les statistiques des applications ICA sur le Centre SD-WAN. Cette option est activée par défaut. Pour plus d’informations, consultez Rapports HDX.

  2. Sélectionnez Activer l’ICA multi-flux pour autoriser plusieurs flux ICA dans une session. Cette option est désactivée par défaut et ne doit être activée que pour fournir la qualité de service par type de flux.

  3. Dans Port ICA DPI, spécifiez les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. N’incluez pas les numéros de port standard 2598 ou 1494 dans cette liste, car ils sont déjà inclus en interne.

  4. Dans IP ICA DPI, spécifiez l’adresse IP à utiliser pour restreindre davantage les ports à une destination spécifique.

Remarque

Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP.

  1. Cliquez sur Appliquer

Vous pouvez configurer individuellement les paramètres de classification des applications sur chaque site. Cliquez sur Connexions, sélectionnez un site et cliquez sur Paramètres des applications. Vous pouvez également choisir d’utiliser les paramètres globaux de l’application.

Rechercher des applications

Vous pouvez rechercher une application pour déterminer le nom de famille de l’application. Une brève description de la demande est également fournie.

Pour rechercher une application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications> Rechercher.

  2. Dans le champ Rechercher, tapez le nom de l’application et cliquez sur Entrée.

Une brève description de l’application et du nom de la famille de l’application s’affiche.

Recherche d'application

Les fonctionnalités suivantes utilisent l’application comme type de correspondance :

Remarque

Pour plus d’informations sur les applications que l’appliance SD-WAN peut identifier à l’aide de l’inspection approfondie des paquets, reportez-vous à la section Bibliothèque de signatures d’ applications.

Objets d’application

Les objets d’application vous permettent de regrouper différents types de critères de correspondance en un seul objet qui peut être utilisé dans les stratégies de pare-feu et la direction d’application. Le protocole IP, l’application et la famille d’applications sont les types de correspondance disponibles.

Les fonctionnalités suivantes utilisent l’objet application comme type de correspondance :

Pour créer un objet d’application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Objets d’application.

  2. Cliquez sur Ajouter et, dans lechampNom, entrez un nom pour l’objet.

Objets d'application

  1. Sélectionnez Activer les rapports pour activer l’affichage des rapports d’application personnalisés dans Citrix SD-WAN Center. Pour plus d’informations, consultez Rapport sur l’application.

  2. Dans lechampPriorité, entrez la priorité de l’objet application. Lorsque les paquets entrants correspondent à deux définitions d’objet d’application ou plus, la définition d’objet d’application ayant la priorité la plus élevée est appliquée.

  3. Cliquez sur + dans lasection Critères de correspondance desapplications.

  4. Sélectionnez l’un des types de correspondance suivants :

  • Protocole IP : spécifiez le protocole, l’adresse IP réseau, le numéro de port et, la balise DSCP.
  • Application : spécifiez le nom de l’application, l’adresse IP réseau, le numéro de port et la balise DSCP.
  • Famille d’applications : sélectionnez une famille d’applications et spécifiez l’adresse IP réseau, le numéro de port et la balise DSCP.
  1. Cliquez sur + pour ajouter d’autres critères de correspondance des applications.

  2. Cliquez sur Ajouter.

Utilisation de la classification des applications avec un pare-feu

La classification du trafic en tant qu’applications et familles d’applications vous permet d’utiliser l’application, les familles d’applications et les objets d’application comme types de correspondance pour filtrer le trafic et appliquer la stratégie et les règles de pare-feu. Cela s’applique à toutes les politiques pré, post et locales. Pour plus d’informations sur le pare-feu, consultez Stateful Firewall and NAT Support.

Pare-feu de classification

Affichage de la classification des applications

Après avoir activé la classification de l’application, vous pouvez afficher le nom de l’application et les détails de la famille d’applications dans les rapports suivants :

  • Statistiques de connexion au pare-feu

  • Informations sur les flux

  • Statistiques relatives aux applications

Statistiques de connexion au pare-feu

Dans l’Éditeur de configuration, accédez à Surveillance > Pare-feu. Sous lasectionConnexions, lescolonnesApplicationetFamille répertorient les applications et leur famille associée.

Connexions au pare-feu avec classification des applications

Si vous n’activez pas la classification des applications, lescolonnesApplicationetFamille n’affichent aucune donnée.

Connexions au pare-feu sans classification d'application

Informations sur les flux

Dans l’Éditeur de configuration, accédez à Surveillance > Flux. Sous lasection Données deflux, lacolonneApplication répertorie les détails de l’application.

Informations sur les flux

Statistiques relatives aux applications

Dans l’Éditeur de configuration, accédez à Surveillance > Statistiques. Sous la section Statistiques de l’application, la colonne Application répertorie les détails de l’application.

Statistiques relatives aux applications

Résolution des problèmes

Après avoir activé la classification des applications, vous pouvez afficher les rapports sous lasectionSurveillance et vous assurer qu’ils affichent les détails de l’application. Pour plus d’informations, voir Affichage de la classification des applications.

S’il y a un comportement inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.