Citrix SD-WAN Orchestrator

アプリケーションとDNSの設定

このセクションでは、アプリケーションをカスタム定義し、ポリシーで使用するアプリケーションのグループ化、QoS プロファイル、および DNS 設定を行うことができます。

アプリケーショングループは、 事前定義アプリケーションとカスタム・アプリケーションの両方に対して定義できます。** アプリケーショングループには、セキュリティポリシーを定義する際に同様の処理が必要なアプリケーションが含まれます。

アプリケーションステアリングやファイアウォールルールなどのポリシーを定義するときに、 アプリケーショングループを頻繁に再利用することができます。これにより、個々のアプリケーションに対して複数のエントリを作成する必要がなくなります。同様に、アプリケーションサービスを使用している間、アプリケーショングループは、単純で一貫した再利用のために、一意の名前を持つ共通アプリケーションをサポートします。

アプリと DNS 設定を表示するには、[ 構成] > [アプリケーションと DNS 設定] に移動します

アプリケーション設定

Citrix SD-WAN アプライアンスは、ディープパケットインスペクション(DPI)を実行して、アプリケーションを識別して分類します。DPIライブラリは、何千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。

DPI は、ネットワーク内のすべてのサイトで、既定でグローバルに有効になっています。DPI を無効にすると、アプライアンスの DPI 分類機能が停止します。DPI 分類アプリケーション/アプリケーションカテゴリを使用して、ファイアウォール、QoS、およびルーティングポリシーを設定できなくなりました。また、上位アプリケーションおよびアプリケーションカテゴリレポートも表示できません。

グローバル DPI を無効にするには、ネットワークレベルで、 [ 構成] > [アプリケーションと DNS の設定] > [アプリケーション設定] に移動し、[グローバル DPI を有効にする] チェックボックスをオフにします。

アプリケーション設定

グローバルな DPI 設定をオーバーライドして、特定のサイトの DPI を無効にするように選択することもできます。選択したサイトの DPI を無効にするには、サイトを [ サイトの上書き ] リストに追加します。

カスタムアプリケーション

カスタムアプリケーションは 、公開アプリケーションのリストには使用できない内部アプリケーションまたは IP ポートの組み合わせを作成するために使用されます。管理者は、IP アドレスとポート番号の詳細を毎回参照せずに、必要に応じて複数のポリシーで使用できるカスタムアプリケーションを定義する必要があります。

管理者は、IP プロトコルまたはドメイン名に基づいてカスタムアプリケーションを定義できます。

IP プロトコルを使用してカスタムアプリケーションを作成するには、[ + カスタムアプリケーション ] をクリックし、カスタムアプリケーションの名前を指定します。IP プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグなどの一致基準を指定します。この条件に一致するデータフローは、カスタムアプリケーションとしてグループ化されます。

アプリケーション DNS

保存すると、カスタムアプリケーションがリストに表示され、必要に応じて編集または削除できます。

複数のドメイン名をアプリケーションとしてグループ化することもできます。ドメイン名に基づいてカスタム・アプリケーションを作成するには、「 ドメイン名ベース」を選択します。アプリケーション名と必要なドメイン名またはパターンを入力します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。たとえば、-*.google.com。

ドメイン

すべてのドメイン名ベースのカスタムアプリケーションは、アプリケーションルーティング、 アプリケーションルール、およびファイアウォールプロファイルに表示されます

カスタム名ベースのアプリケーションを使用するには、アプリケーションルートとファイアウォールポリシーの作成時に、一致基準を「アプリケーション」と表示する必要があります。

カスタムアプリケーションを作成したら、アプリケーションのルーティングを実行するには、[ルーティング] > [ ルーティングポリシー] > [+ アプリケーションルート] に移動し、[アプリケーション** ]**ドロップダウンリストでカスタムアプリケーションを選択します。

アプリケーションルーティングカスタムアプリケーション

IP プロトコルカスタムアプリケーションの一致基準で、DNS ベースのカスタムアプリケーションを選択することもできます。

IP プロトコルカスタムアプリケーション

同様に、[ ファイアウォールプロファイル] の下にカスタムアプリケーションを表示するには、[ セキュリティ] > [ファイアウォールプロファイル] に移動します。アプリケーションは、任意のタイプのプロファイル(グローバルオーバーライド、サイト固有/グローバルプロファイル)に使用できます。[ ファイアウォールルール]> [一致基準] の下の [ 新しいルールの作成] をクリックし、[アプリケーション ] ドロップダウンリストからカスタムアプリケーションを選択します。

ファイアウォールプロファイルのカスタムアプリケーション

DNS ベースのカスタムアプリケーションは、[ グローバル] または [サイト/グループ固有のルール] の下に表示されます。[アプリケーションルール]でカスタムアプリケーションを表示するには、[ QoS] > [QoS ポリシー] > [グローバルルール] > [ アプリケーションルール] > [アプリケーション一致条件] で「アプリケーション 」ドロップダウン・リスト。

アプリケーションルールカスタムアプリケーション

[ 構成の確認] をクリックして 、監査エラーを検証します。

アプリケーショングループ

** アプリケーショングループは、管理者が共通のポリシーで使用するために類似したアプリケーションをグループ化するのに役立ちます。ただし、アプリケーションごとにポリシーを作成する必要はありません。

アプリグループ

アプリケーショングループは、「アプリケーショングループの追加」** オプションを使用して作成できます。アプリケーションロールごとにポリシーを作成する際に、同じアプリケーショングループを参照できます。特定のグループに対して定義されたポリシーは、特定のカテゴリに一致する各アプリケーションに適用されます。

たとえば、 **** アプリケーショングループをソーシャルネットワーキングとして作成し、Facebook、LinkedIn、Twitter などのソーシャルネットワークをグループに追加して、ソーシャルネットワーキングアプリケーションの特定のポリシーを定義できます。

アプリケーショングループを作成するにはアプリケーションリストからグループ名を指定し、検索し、アプリケーションを追加します。必要に応じて、いつでも戻って設定を編集したり、 ** アプリケーショングループを削除したりできます。

アプリケーション グループ

[ 構成の確認] をクリックして 、監査エラーを検証します。

アプリケーション品質プロファイル

このセクションでは、アプリケーション品質プロファイルを表示および作成できます。

アプリの品質プロファイル

アプリケーション QoE は、SD-WAN ネットワークにおけるアプリケーションのエクスペリエンスの品質の尺度です。2 つの SD-WAN アプライアンス間の仮想パスを通過するアプリケーションの品質を測定します。

アプリケーション QoE スコアは 0 ~ 10 の値です。該当するスコア範囲によって、アプリケーションの品質が決まります。

品質 範囲
8–10
標準 4–8
0–4

アプリケーションQoEスコアは、アプリケーションの品質を測定し、問題のある傾向を特定するために使用することができます。

プロファイルの設定

[ + QoE Profile] をクリックして QoE プロファイルを作成し、プロファイル名を指定し、ドロップダウンリストからトラフィックタイプを選択します。

QoEプロフィール

リアルタイム構成

QoE プロファイルを使用して、リアルタイムおよび対話型アプライアンスの品質しきい値を定義し、これらのプロファイルをアプリケーションまたはアプリケーションオブジェクトにマッピングできます。

リアルタイムアプリケーションのアプリケーションQoE計算では、MOSスコアから派生したCitrixの革新的な手法が使用されます。

デフォルトのしきい値は次のとおりです。

  • 遅延しきい値(ミリ秒): 160
  • ジッタしきい値 (ミリ秒): 30
  • パケット損失しきい値(%): 2

遅延、損失、およびジッタに関するしきい値を満たすリアルタイムアプリケーションのフローは、品質が良いと見なされます。

リアルタイムアプリケーションの QoE は、しきい値を満たすフローの割合をフローサンプルの合計数で割った値から決定されます。

リアルタイムの QoE =(しきい値を満たすフローサンプル数/フローサンプルの合計数)* 100

これは、0から10の範囲のQoEスコアとして表されます。

対話型の構成

対話型アプリケーションのアプリケーションQoEでは、パケット損失とバーストレートのしきい値に基づいてCitrixの革新的な技術を使用しています。

対話型アプリケーションは、パケット損失とスループットに影響されます。したがって、フロー内のパケット損失率、および入出力トラフィックのバーストレートを測定します。

設定可能なしきい値は、次のとおりです。

  • パケット損失率。
  • 入力バーストレートと比較して、予想される出力バーストレートのパーセンテージ。

デフォルトのしきい値は次のとおりです。

  • パケット損失しきい値:1%
  • バーストレート:60%

次の条件が満たされている場合、フローの品質は良好です。

  • フローの損失の割合は、設定されたしきい値より小さくなります。

  • 出力バーストレートは、少なくとも入力バーストレートに設定されたパーセンテージです。

アプリケーション品質の設定

アプリケーションまたはアプリケーションオブジェクトをデフォルトまたはカスタムQoEプロファイルにマッピングします。リアルタイムおよび対話型トラフィック用のカスタム QoE プロファイルを作成できます。

[ +QoE 設定] をクリックして 、カスタム QoE プロファイルを作成します。

  • タイプ: DPI アプリケーションまたはアプリケーションオブジェクト (アプリケーション、アプリケーションアプリケーション、アプリケーショングループ) を選択します。
  • アプリケーション: 選択したタイプに基づいて、アプリケーションまたはアプリケーション・オブジェクトを検索して選択します。
  • QoE プロファイル: アプリケーションまたはアプリケーションオブジェクトにマップする QoE プロファイルを選択します。

アプリの品質設定

[ 完了] をクリックします

[ 構成の確認] をクリックして 、監査エラーを検証します。

DNSサーバー

DNS 要求がルーティングされる特定の DNS サーバーを構成できます。

DNS サーバの名前を入力し、プライマリ DNS サーバおよびセカンダリ DNS サーバの IP アドレスを指定します。内部、ISP、グーグル、またはその他のオープンソースのDNSサービスを作成できます。

DNS サーバー

[ 構成の確認] をクリックして 、監査エラーを検証します。

プロキシ自動設定

ミッションクリティカルなSaaSアプリケーションと分散型ワークフォースの企業導入の増加に伴い、レイテンシーと輻輳を低減することが非常に重要になります。レイテンシーと輻輳は、データセンターを通過するトラフィックをバックホールする従来の方法に固有のものです。Citrix SD-WANでは、Office 365などのSaaSアプリケーションを直接インターネットから抜け出すことができます。詳細については、「 Office 365 の最適化」を参照してください

企業展開で明示的な Web プロキシが設定されている場合、すべてのトラフィックが Web プロキシに誘導されるため、分類や直接インターネットブレイクアウトが難しくなります。解決策は、エンタープライズ PAC (Proxy Auto-Config) ファイルをカスタマイズすることによって、SaaS アプリケーショントラフィックがプロキシされないようにすることです。

Citrix SD-WAN 11.0では、カスタムPACファイルを動的に生成して提供することで、Office 365アプリケーショントラフィックのプロキシバイパスとローカルインターネットブレークアウトが可能になります。PAC ファイルは、Web ブラウザーの要求が送信先に直接送信されるか、Web プロキシサーバーに送信されるかを定義する JavaScript 関数です。

PAC ファイルのカスタマイズの仕組み

理想的には、内部Webサーバー上のエンタープライズネットワークホストPACファイル、これらのプロキシ設定はグループポリシーを介して配布されます。クライアントブラウザは、エンタープライズ Web サーバから PAC ファイルを要求します。Citrix SD-WANアプライアンスは、Office 365ブレークアウトが有効なサイト用にカスタマイズされたPACファイルを提供します。

PAC ファイルのカスタマイズ

  1. Citrix SD-WANは、エンタープライズWebサーバーからエンタープライズPACファイルの最新のコピーを定期的に要求し、取得します。Citrix SD-WANアプライアンスは、オフィス365のURLをエンタープライズPACファイルにパッチします。エンタープライズ PAC ファイルには、Office 365 の URL にシームレスにパッチが適用されるプレースホルダ (SD-WAN 固有のタグ) が必要です。

  2. クライアントブラウザーは、エンタープライズ PAC ファイルホストの DNS 要求を生成します。Citrix SD-WANは、プロキシ構成ファイルFQDNに対する要求を代行受信し、Citrix SD-WAN VIPに応答します。

  3. クライアントブラウザが PAC ファイルを要求します。Citrix SD-WANアプライアンスは、パッチが適用されたPACファイルをローカルで提供します。PAC ファイルには、エンタープライズプロキシ構成と Office 365 の URL 除外ポリシーが含まれています。

  4. Office 365アプリケーションに対する要求を受信すると、Citrix SD-WAN アプライアンスは直接インターネットブレークアウトを実行します。

前提条件

  1. 企業は PAC ファイルをホストする必要があります。

  2. PAC ファイルには、プレースホルダ SDWAN_TAG、 または Office 365 の URL にパッチを適用するための findproxyforurl 関数が 1 つ含まれている必要があります。

  3. PAC ファイルの URL は、IP ベースではなく、ドメインベースである必要があります。

  4. PAC ファイルは、信頼されたアイデンティティ VIP を介してのみ提供されます。

  5. Citrix SD-WAN アプライアンスは、管理インターフェイス経由でエンタープライズPACファイルをダウンロードできる必要があります。

プロキシ自動設定の構成

SD-WAN Orchestartor UI のネットワークレベルで、[ 構成] > [ **アプリケーションと DNS の設定]> [ プロキシ自動設定] の順に選択し、[ + PAC ファイルプロファイル] をクリックします。**

プロキシ自動設定

PAC ファイルプロファイルの名前を入力し、エンタープライズ PAC ファイルサーバの URL を指定します。Office 365 ブレークアウトルールは、エンタープライズ PAC ファイルに動的に修正されます。

PAC ファイルプロファイルを適用するサイトを選択します。サイトごとに異なる URL がある場合は、サイトごとに異なるプロファイルを作成します。

制限事項

  • HTTPS PAC ファイルサーバー要求はサポートされていません。

  • ルーティングドメインまたはセキュリティゾーンの PAC ファイルなど、ネットワーク内の複数の PAC ファイルはサポートされません。

  • Citrix SD-WAN でのPACファイルのゼロからの生成はサポートされていません。

  • DHCP 経由の WPAD はサポートされていません。

アプリケーションとDNSの設定