Documentation Produit
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Voir PDF

Classification des demandes

November 16, 2022
Contributeur: 
C

Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (DPI) pour identifier et classer les applications à l’aide des techniques suivantes :

  • Classification de la bibliothèque DPI
  • Classification ICA (Independent Computing Architecture) propriétaire Citrix
  • API fournisseur d’applications (par exemple, API REST Microsoft pour Office 365)
  • Classification d’application basée sur un nom de domaine

Classification de la bibliothèque DPI

La bibliothèque Deep Packet Inspection (DPI) reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière. La classification des applications pour chaque connexion prend quelques paquets.

Pour activer la classification des bibliothèques DPI sur le service Citrix SD-WAN Orchestrator, consultez la section Classification des bibliothèques DPI.

Classification ICA

Les appliances Citrix SD-WAN peuvent également identifier et classer le trafic Citrix HDX pour les applications et les bureaux virtuels. Citrix SD-WAN reconnaît les variantes suivantes du protocole ICA :

  • ICA
  • ICA-CGP
  • ICA à flux unique (SSI)
  • ICA multiflux (MSI)
  • ICA sur TCP
  • L’ICA sur l’UDP/EDT
  • ICA sur les ports non standard (y compris ICA multi-ports)
  • Transport adaptatif HDX
  • ICA sur WebSocket (utilisé par le récepteur HTML5)

Remarque

La classification du trafic ICA transmis via SSL/TLS ou DTLS n’est pas prise en charge dans SD-WAN Standard Edition.

La classification du trafic réseau se fait au cours des connexions initiales ou de l’établissement du flux. Par conséquent, les connexions préexistantes ne sont pas classées comme ICA. La classification des connexions est également perdue lorsque la table de connexion est effacée manuellement.

Le trafic Framehawk et l’Audio-over-UDP/RTP ne sont pas classés comme des applications HDX. Ils sont signalés comme « UDP » ou « protocole inconnu ».

Depuis la version 10 version 1, l’appliance SD-WAN peut différencier chaque flux de données ICA dans l’ICA multi-flux, même dans une configuration monoport. Chaque flux ICA est classé comme une application distincte avec sa propre classe QoS par défaut pour la hiérarchisation.

  • Pour que la fonctionnalité Multi-Stream ICA fonctionne correctement, vous devez disposer du SD-WAN Standard Edition 10.1 ou supérieur.

  • Pour que les rapports basés sur les utilisateurs HDX soient affichés sur SDWAN-Center, vous devez disposer de SD-WAN Standard Edition 11.0 ou supérieur.

Configuration logicielle minimale requise pour le canal virtuel d’information HDX :

  • Une version actuelle de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop), puisque la fonctionnalité requise a été introduite dans XenApp et XenDesktop 7.17 et n’est pas incluse dans la version de service à long terme 7.15.

  • Version de l’application Citrix Workspace (ou de son prédécesseur, Citrix Receiver) prenant en charge l’ICA multi-flux et le canal virtuel d’informations HDX Insights, CTXNSAP. Recherchez HDX Insight avec NSAP VC et ICA multiport/multi-flux dans la matrice des fonctionnalités de l’application Citrix Workspace. Consultez les versions actuellement prises en charge sur HDX Insights.

  • À partir de la version 11.2, la duplication des paquets est désormais activée par défaut pour le trafic HDX en temps réel lorsque l’ICA multiflux est en cours d’utilisation.

Une fois classée, l’application ICA peut être utilisée dans les règles d’application et pour afficher des statistiques de demande semblables à celles d’autres applications classifiées.

Il existe cinq règles d’application par défaut pour les applications ICA, une pour chacune des balises de priorité suivantes :

  • Architecture informatique indépendante (Citrix) (ICA)
  • ICA en temps réel (ica_priority_0)
  • ICA Interactive (ica_priority_1)
  • Transfert en bloc ICA (ica_prority_2)
  • Contexte ICA (ica_priority_3)

Pour plus d’informations, consultez la section Règles par nom d’application

Si vous exécutez une combinaison de logiciels qui ne prennent pas en charge l’ICA Multi-Stream sur un seul port, alors pour effectuer la QoS, vous devez configurer plusieurs ports, un pour chaque flux ICA. Pour classer HDX sur des ports non standard comme configurés dans la stratégie de serveur XA/XD, vous devez ajouter ces ports dans les configurations de ports ICA. En outre, pour faire correspondre le trafic sur ces ports à des règles IP valides, vous devez mettre à jour les règles IP ICA.

Dans la liste IP et ports ICA, vous pouvez spécifier les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. L’adresse IP est utilisée pour restreindre davantage les ports à une destination spécifique. Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP. L’adresse IP avec une combinaison de port SSL est également utilisée pour indiquer que le trafic est probablement ICA même si le trafic n’est pas finalement classé comme ICA. Cette indication est utilisée pour envoyer des enregistrements AppFlow L4 pour prendre en charge les rapports multi-sauts dans Citrix Application Delivery Management.

Pour activer la classification basée sur ICA sur le service Citrix SD-WAN Orchestrator, consultez la section Classification ICA.

Classification basée sur l’API du fournisseur d’applications

Citrix SD-WAN prend en charge la classification basée sur l’API du fournisseur d’applications suivante :

Classification d’application basée sur un nom de domaine

Le moteur de classification DPI est amélioré pour classer les applications en fonction du nom de domaine et des modèles. Une fois que le redirecteur DNS a intercepté et analysé les demandes DNS, le moteur DPI utilise le classificateur IP pour effectuer la première classification des paquets. D’autres bibliothèques DPI et la classification ICA sont effectuées et l’ID d’application basé sur le nom de domaine est ajouté.

La fonctionnalité d’application basée sur un nom de domaine vous permet de regrouper plusieurs noms de domaine et de les traiter comme une seule application. Faciliter l’application du pare-feu, de la direction des applications, de la qualité de service et d’autres règles. Un maximum de 64 applications basées sur des noms de domaine peuvent être configurées.

Pour définir des applications basées sur des noms de domaine sur le service Citrix SD-WAN Orchestrator, consultez la section Classification des applications basée sur le nom de domaine.

Remarque

  • À partir de la version 11.4.2, les applications basées sur le nom de domaine prennent en charge les ports et le protocole configurables dans le service Citrix SD-WAN Orchestrator. Pour plus d’informations, consultez Domaines et applications.

  • À partir de la version 11.5.0 de Citrix SD-WAN, les enregistrements AAAA sont pris en charge sur le service Citrix SD-WAN Orchestrator.

Limitations

  • S’il n’y a pas de requête/réponse DNS correspondant à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine et n’applique donc pas les règles d’application correspondant à l’application basée sur un nom de domaine.
  • Si un objet Application est créé de telle sorte que la plage de ports inclut le port 80 et/ou le port 443, avec un type de correspondance d’adresse IP spécifique qui correspond à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine.
  • Si des proxys Web explicites sont configurés, vous devez ajouter tous les modèles de noms de domaine au fichier PAC, pour vous assurer que la réponse DNS ne renvoie pas toujours la même adresse IP.
  • Les classifications d’applications basées sur un nom de domaine sont réinitialisées lors de la mise à niveau de Le reclassement se fait en fonction des techniques de classification antérieures à la version 11.0.2, telles que la classification de la bibliothèque DPI, la classification ICA et la classification basée sur les API d’application fournisseur.
  • Les signatures d’application apprises (adresses IP de destination) par classification d’application basée sur un nom de domaine sont réinitialisées lors de la mise à jour de configuration.
  • Seules les requêtes DNS standard et leurs réponses sont traitées.
  • Les enregistrements de réponse DNS répartis sur plusieurs paquets ne sont pas traités. Seules les réponses DNS dans un seul paquet sont traitées.
  • DNS sur TCP n’est pas pris en charge.
  • Seuls les domaines de premier niveau sont pris en charge en tant que modèles de noms de domaine.

Classement du trafic chiffré

L’appliance Citrix SD-WAN détecte et signale le trafic chiffré, dans le cadre des rapports d’application, selon les deux méthodes suivantes :

  • Pour le trafic HTTPS, le moteur DPI inspecte le certificat SSL pour lire le nom commun, qui porte le nom du service (par exemple - Facebook, Twitter). Selon l’architecture de l’application, un seul certificat peut être utilisé pour plusieurs types de services (par exemple, e-mail, news, etc.). Si différents services utilisent des certificats différents, le moteur DPI serait en mesure de différencier les services.
  • Pour les applications qui utilisent leur propre protocole de cryptage, le moteur DPI recherche des modèles binaires dans les flux. Par exemple, dans le cas de Skype, le moteur DPI recherche un modèle binaire à l’intérieur du certificat et détermine l’application.

Objets d’application

Les objets d’application vous permettent de regrouper différents types de critères de correspondance en un seul objet qui peut être utilisé dans les stratégies de pare-feu et la direction d’application. Le protocole IP, l’application et la famille d’applications sont les types de correspondance disponibles.

Les fonctionnalités suivantes utilisent l’objet d’application comme type de correspondance :

Utilisation de la classification des applications avec un pare-feu

La classification du trafic en tant qu’applications, familles d’applications ou noms de domaine vous permet d’utiliser l’application, les familles d’applications et les objets d’application comme types de correspondance pour filtrer le trafic et appliquer la stratégie et les règles de pare-feu. Elle s’applique à toutes les politiques pré, postales et locales. Pour plus d’informations sur le pare-feu, consultez la section Pare-feu avec état et prise en charge NAT.

Classification des applications dans le pare-feu—>

Affichage de la classification des applications

Après avoir activé la classification de l’application, vous pouvez afficher le nom de l’application et les détails de la famille d’applications dans les rapports suivants :

  • Statistiques de connexion au pare-feu

  • Informations sur les flux

  • Statistiques relatives aux applications

Statistiques de connexion au pare-feu

Accédez à Surveillance > Pare-feu. Sous la section Connexions, les colonnes Application et Famille répertorient les applications et la famille associée.

Connexions au pare-feu avec classification des applications

Si vous n’activez pas la classification des applications, les colonnes Application et Famille n’affichent aucune donnée.

Connexions au pare-feu sans classification d'application

Informations sur les flux

Accédez à Surveillance > Flux. Sous la section Données de flux, la colonne Application répertorie les détails de l’application.

Informations sur les flux

Statistiques relatives aux applications

Accédez à Surveillance > Statistiques. Sous la section Statistiques d’application, la colonne Application répertorie les détails de l’application.

Résolution des problèmes

Après avoir activé la classification des applications, vous pouvez afficher les rapports sous la section Surveillance et vous assurer qu’ils affichent les détails de l’application. Pour plus d’informations, consultez la section Affichage de la classification des applications.

S’il y a un comportement inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.

Classification des demandes
November 16, 2022
Contributeur: 
C
November 16, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.