Citrix SD-WAN

Classification de l’application

Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (DPI) pour identifier et classer les applications à l’aide des techniques suivantes :

  • Classification de la bibliothèque DPI
  • Classification ICA (Independent Computing Architecture) propriétaire Citrix
  • API fournisseur d’applications (par exemple, API REST Microsoft pour Office 365)
  • Classification d’application basée sur un nom de domaine

Classification de la bibliothèque DPI

La bibliothèque Deep Packet Inspection (DPI) reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière. La classification des applications pour chaque connexion prend quelques paquets.

Pour activer la classification de la bibliothèque PPP, dans l’Éditeur de configuration, accédez à Global > Applications > Paramètres PPP et activez la case à cocher Activer l’inspection approfondie des paquets.

Classification ICA

Les appliances Citrix SD-WAN peuvent également identifier et classer le trafic Citrix HDX pour les applications et les bureaux virtuels. Citrix SD-WAN reconnaît les variantes suivantes du protocole ICA :

  • ICA
  • ICA-CGP
  • ICA à flux unique (SSI)
  • ICA multiflux (MSI)
  • ICA sur TCP
  • L’ICA sur l’UDP/EDT
  • ICA sur les ports non standard (y compris ICA multi-ports)
  • Transport adaptatif HDX
  • ICA sur WebSocket (utilisé par le récepteur HTML5)

Remarque

La classification du trafic ICA livré via SSL/TLS ou DTLS n’est pas prise en charge par SD-WAN Standard Edition, mais est prise en charge par SD-WAN Premium Edition et SD-WAN WANOP Edition.

La classification du trafic réseau se fait au cours des connexions initiales ou de l’établissement du flux. Par conséquent, les connexions préexistantes ne sont pas classées comme ICA. La classification des connexions est également perdue lorsque la table de connexion est effacée manuellement.

Le trafic Framehawk et l’Audio-over-UDP/RTP ne sont pas classés comme des applications HDX. Ils sont signalés comme « UDP » ou « Protocole inconnu ».

Depuis la version 10 version 1, l’appliance SD-WAN peut différencier chaque flux de données ICA dans l’ICA multi-flux, même dans une configuration monoport. Chaque flux ICA est classé comme une application distincte avec sa propre classe QoS par défaut pour la hiérarchisation.

  • Pour que la fonctionnalité ICA Multi-Stream fonctionne correctement, vous devez disposer du SD-WAN Standard Edition 10.1 ou supérieure ou du SD-WAN Premium Edition.

  • Pour que les rapports utilisateur HDX soient affichés sur SD-WAN Center, vous devez disposer de SD-WAN Standard Edition ou Premium Edition 11.0 ou supérieur.

Configuration logicielle minimale requise pour le canal virtuel d’informations HDX :

  • La version de service à long terme 7 à 1912 ou une version actuelle de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop), puisque la fonctionnalité requise a été introduite dans XenApp et XenDesktop 7.17 et n’est pas incluse dans la version de service à long terme 7.15.

  • Version de l’application Citrix Workspace (ou de son prédécesseur, Citrix Receiver) prenant en charge l’ICA multi-flux et le canal virtuel d’informations HDX Insights, CTXNSAP. Recherchez HDX Insight avec NSAP VC et Multiport/Multistream ICA dans l’application Citrix Workspace Feature Matrix. Consultez les versions actuellement prises en charge sur HDX Insights.

Une fois classifiée, l’application ICA peut être utilisée dans les règles d’application et pour afficher des statistiques de demande semblables à celles d’autres applications classifiées.

Il existe cinq règles d’application par défaut pour les applications ICA, une pour chacune des balises de priorité suivantes :

  • Architecture informatique indépendante (Citrix) (ICA)
  • ICA en temps réel (ica_priority_0)
  • ICA Interactive (ica_priority_1)
  • Transfert en bloc ICA (ica_prority_2)
  • Contexte ICA (ica_priority_3)

Pour plus d’informations, consultez Règles par nom d’application

Si vous exécutez une combinaison de logiciels qui ne prennent pas en charge l’ICA Multi-Stream sur un seul port, alors pour effectuer la QoS, vous devez configurer plusieurs ports, un pour chaque flux ICA. Pour classer HDX sur des ports non standard comme configurés dans la stratégie de serveur XA/XD, vous devez ajouter ces ports dans les configurations de ports ICA. En outre, pour faire correspondre le trafic sur ces ports à des règles IP valides, vous devez mettre à jour les règles IP ICA.

Dans ICA IP et liste de ports, vous pouvez spécifier les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. L’adresse IP est utilisée pour restreindre davantage les ports à une destination spécifique. Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP. L’adresse IP avec une combinaison de port SSL est également utilisée pour indiquer que le trafic est probablement ICA même si le trafic n’est pas finalement classé comme ICA. Cette indication est utilisée pour envoyer des enregistrements AppFlow L4 pour prendre en charge les rapports multi-sauts dans Citrix Application Delivery Management.

Pour activer la classification basée sur ICA, dans l’Éditeur de configuration, accédez à Global > Applications > Paramètres PPP et activez la case à cocher Activer l’inspection approfondie des paquets pour les applications ICA Citrix.

Classification basée sur l’API du fournisseur d’applications

Citrix SD-WAN prend en charge la classification basée sur l’API du fournisseur d’applications suivante :

  • Office 365. Pour plus d’informations, consultez Optimisation Office 365.

  • Service Citrix Cloud et Citrix Gateway. Pour plus d’informations, voir Optimisation des services de passerelle.

Classification d’application basée sur un nom de domaine

Le moteur de classification DPI est amélioré pour classer les applications en fonction du nom de domaine et des modèles. Une fois que le redirecteur DNS intercepte et analyse les requêtes DNS, le moteur DPI utilise le classificateur IP pour effectuer la première classification de paquets. D’autres bibliothèques DPI et la classification ICA sont effectuées et l’ID d’application basé sur le nom de domaine est ajouté.

La fonctionnalité d’application basée sur un nom de domaine vous permet de regrouper plusieurs noms de domaine et de les traiter comme une seule application. Faciliter l’application du pare-feu, de la direction des applications, de la qualité de service et d’autres règles. Un maximum de 64 applications basées sur des noms de domaine peuvent être configurées.

Pour définir des applications basées sur un nom de domaine, dans l’Éditeur de configuration, accédez à Global > Applications > Applications basées sur un nom de domaine. Entrez un nom d’application et ajoutez les noms de domaine ou les modèles requis. Vous pouvez entrer le nom de domaine complet ou utiliser des caractères génériques au début. Les formats de noms de domaine suivants sont autorisés :

  • exemple.com
  • *.exemple.com

Applications basées sur un nom de domaine

Les applications basées sur un nom de domaine classifié sont utilisées pour configurer les éléments suivants :

Limitations

  • S’il n’y a pas de requête/réponse DNS correspondant à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine et n’applique donc pas les règles d’application correspondant à l’application basée sur un nom de domaine.
  • Si un objet Application est créé de telle sorte que la plage de ports inclut le port 80 et/ou le port 443, avec un type de correspondance d’adresse IP spécifique qui correspond à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine.
  • Si des proxys Web explicites sont configurés, vous devez ajouter tous les modèles de noms de domaine au fichier PAC, pour vous assurer que la réponse DNS ne renvoie pas toujours la même adresse IP.
  • Les classifications d’applications basées sur un nom de domaine sont réinitialisées lors de la mise à niveau de Le reclassement se fait en fonction des techniques de classification antérieures à la version 11.0.2, telles que la classification de la bibliothèque DPI, la classification ICA et la classification basée sur les API d’application fournisseur.
  • Les signatures d’application apprises (adresses IP de destination) par classification d’application basée sur un nom de domaine sont réinitialisées lors de la mise à jour de configuration.
  • Seules les requêtes DNS standard et leurs réponses sont traitées.
  • Les enregistrements AAAA ou IPv6 ne sont pas pris en charge.
  • Les enregistrements de réponse DNS répartis sur plusieurs paquets ne sont pas traités. Seules les réponses DNS dans un seul paquet sont traitées.
  • DNS sur TCP n’est pas pris en charge.
  • Seuls les domaines de premier niveau sont pris en charge en tant que modèles de noms de domaine.

Classement du trafic chiffré

L’appliance Citrix SD-WAN détecte et signale le trafic chiffré, dans le cadre des rapports d’application, selon les deux méthodes suivantes :

  • Pour le trafic HTTPS, le moteur DPI inspecte le certificat SSL pour lire le nom commun, qui porte le nom du service (par exemple - Facebook, Twitter). Selon l’architecture de l’application, un seul certificat peut être utilisé pour plusieurs types de services (par exemple, e-mail, news, etc.). Si différents services utilisent des certificats différents, le moteur DPI serait en mesure de différencier les services.
  • Pour les applications qui utilisent leur propre protocole de chiffrement, le moteur DPI recherche des modèles binaires dans les flux, par exemple dans le cas de Skype, le moteur DPI recherche un modèle binaire dans le certificat et détermine l’application.

Pour configurer les paramètres de classification des applications :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Paramètres.

Paramètres de l'application

Remarque

Si vous ajoutez un port ICA supplémentaire pour le déploiement multiport, ces ports doivent être ajoutés dans les classificateurs d’applications d’optimisation Wan. Sinon, le trafic sur les trois ports supplémentaires ne sera pas transféré à wanop. Seul le port 2598 par défaut est transféré si ICA est configuré pour optimiser.

Classificateur d'applications WANOPg)

  1. Sélectionnez Activer l’inspection approfondie des paquets. Cela permet de classer les applications sur l’appliance. Vous pouvez, afficher et surveiller les statistiques d’application sur le Centre SD-WAN. Pour plus d’informations, consultez Rapport sur l’application.

Remarque

Par défaut, Enable Deep Packet Inspection collecte des statistiques pour les données classifiées.

  1. Sélectionnez Activer l’inspection approfondie des paquets pour les applications ICA Citrix. Cela permet la classification des applications Citrix ICA et collecte des statistiques pour les comptes d’utilisateurs, de sessions et de flux. Sans cette option activée, une partie de la saveur du trafic HDX pourrait encore être classée et la QoE calculée, mais les statistiques sur le centre SD-WAN ne sont pas disponibles. Vous pouvez, afficher et surveiller les statistiques des applications ICA sur le Centre SD-WAN. Cette option est activée par défaut. Pour plus d’informations, consultez Rapports HDX.

  2. Sélectionnez Activer les rapports d’utilisateurs HDX pour générer des rapports utilisateur nouvellement ajoutés (HDX Summary, HDX User Sessions et applications HDX). Ces rapports sont disponibles dans SD-WAN Center. Ceci n’est pas applicable pour lerapportHDX Site Stats. Cette option est disponible au niveau global et au niveau du site similaire pour activer l’option DPI. Pour activer les rapports d’utilisateurs HDX au niveau du site, dans l’Éditeur de configuration, cliquez sur Connexions > Applications.

Activer les rapports HDX

  1. Dans Port ICA DPI, spécifiez les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. N’incluez pas les numéros de port standard 2598 ou 1494 dans cette liste, car ils sont déjà inclus en interne.

  2. Dans IP ICA DPI, spécifiez l’adresse IP à utiliser pour restreindre davantage les ports à une destination spécifique.

Remarque

Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP.

  1. Cliquez sur Appliquer

Vous pouvez configurer individuellement les paramètres de classification des applications sur chaque site. Cliquez sur Connexions, sélectionnez un site et cliquez sur Paramètres des applications. Vous pouvez également choisir d’utiliser les paramètres globaux de l’application.

Rechercher des applications

Vous pouvez rechercher une application pour déterminer le nom de famille de l’application. Une brève description de la demande est également fournie.

Pour rechercher une application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications> Rechercher.

  2. Dans le champ Rechercher, tapez le nom de l’application et cliquez sur Entrée.

Une brève description de l’application et du nom de la famille de l’application s’affiche.

Recherche d'application

Les fonctionnalités suivantes utilisent l’application comme type de correspondance :

Remarque

Pour plus d’informations sur les applications que l’appliance SD-WAN peut identifier à l’aide de l’inspection approfondie des paquets, reportez-vous à la section Bibliothèque de signatures d’ applications.

Objets d’application

Les objets d’application vous permettent de regrouper différents types de critères de correspondance en un seul objet qui peut être utilisé dans les stratégies de pare-feu et la direction d’application. Le protocole IP, l’application et la famille d’applications sont les types de correspondance disponibles.

Les fonctionnalités suivantes utilisent l’objet application comme type de correspondance :

Pour créer un objet d’application :

  1. Dans l’Éditeur de configuration, cliquez sur Global > Applications > Objets d’application.

  2. Cliquez sur Ajouter et, dans lechampNom, entrez un nom pour l’objet.

Objets d'application

  1. Sélectionnez Activer les rapports pour activer l’affichage des rapports d’application personnalisés dans Citrix SD-WAN Center. Pour plus d’informations, consultez Rapport sur l’application.

  2. Dans lechampPriorité, entrez la priorité de l’objet application. Lorsque les paquets entrants correspondent à deux définitions d’objet d’application ou plus, l’objet d’application ayant la priorité la plus élevée est appliqué.

  3. Cliquez sur + dans lasection Critères de correspondance desapplications.

  4. Sélectionnez l’un des types de correspondance suivants :

  • Protocole IP : spécifiez le protocole, l’adresse IP réseau, le numéro de port et, la balise DSCP.
  • Application : spécifiez le nom de l’application, l’adresse IP réseau, le numéro de port et la balise DSCP.
  • Famille d’applications : sélectionnez une famille d’applications et spécifiez l’adresse IP réseau, le numéro de port et la balise DSCP.
  1. Cliquez sur + pour ajouter d’autres critères de correspondance des applications.

  2. Cliquez sur Ajouter.

Utilisation de la classification des applications avec un pare-feu

La classification du trafic en tant qu’applications, familles d’applications ou noms de domaine vous permet d’utiliser l’application, les familles d’applications et les objets d’application comme types de correspondance pour filtrer le trafic et appliquer la stratégie et les règles de pare-feu. Elle s’applique à toutes les politiques pré, postales et locales. Pour plus d’informations sur le pare-feu, consultez Stateful Firewall and NAT Support.

Classification des applications dans le pare-feu

Affichage de la classification des applications

Après avoir activé la classification de l’application, vous pouvez afficher le nom de l’application et les détails de la famille d’applications dans les rapports suivants :

  • Statistiques de connexion au pare-feu

  • Informations sur les flux

  • Statistiques relatives aux applications

Statistiques de connexion au pare-feu

Dans l’Éditeur de configuration, accédez à Surveillance > Pare-feu. Sous lasectionConnexions, lescolonnesApplicationetFamille répertorient les applications et leur famille associée.

Connexions au pare-feu avec classification des applications

Si vous n’activez pas la classification des applications, lescolonnesApplicationetFamille n’affichent aucune donnée.

Connexions au pare-feu sans classification d'application

Informations sur les flux

Dans l’Éditeur de configuration, accédez à Surveillance > Flux. Sous lasection Données deflux, lacolonneApplication répertorie les détails de l’application.

Informations sur les flux

Statistiques relatives aux applications

Dans l’Éditeur de configuration, accédez à Surveillance > Statistiques. Sous la section Statistiques de l’application, la colonne Application répertorie les détails de l’application.

Statistiques relatives aux applications

Résolution des problèmes

Après avoir activé la classification des applications, vous pouvez afficher les rapports sous lasectionSurveillance et vous assurer qu’ils affichent les détails de l’application. Pour plus d’informations, voir Affichage de la classification des applications.

S’il y a un comportement inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.