Citrix SD-WAN

アプリケーション分類

Citrix SD-WAN アプライアンスは、ディープ・パケット・インスペクション(DPI)を実行し、次の手法を使用してアプリケーションを識別および分類します。

  • DPI ライブラリの分類
  • Citrix独自の独立コンピューティングアーキテクチャ(ICA)分類
  • アプリケーションベンダー API (Office 365 用の Microsoft REST API など)
  • ドメイン名ベースのアプリケーション分類

DPI ライブラリの分類

ディープパケットインスペクション (DPI) ライブラリは、何千もの商用アプリケーションを認識しています。アプリケーションのリアルタイム検出とクラス分けが可能になります。SD-WAN アプライアンスは、DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。

ICA分類

また、Citrix SD-WAN アプライアンスは、仮想アプリおよびデスクトップのCitrix HDXトラフィックを識別して分類することもできます。Citrix SD-WAN は、ICAプロトコルの次のバリエーションを認識します。

  • ICA
  • ICA-CGP
  • シングルストリームICA(SSI)
  • マルチストリームICA(MSI)
  • ICA over TCP
  • ICAオーバーUDP/EDT
  • 非標準ポート経由のICA(マルチポートICAを含む)
  • HDX アダプティブ トランスポート
  • WebSocket上のICA(HTML5レシーバーによって使用)

SSL/TLS または DTLS経由で配信されるICAトラフィックの分類は、SD-WAN Standard Edition ではサポートされませんが、SD-WAN Premium Edition および SD-WAN WANOP Edition ではサポートされています。

ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAとして分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。

Framehawk トラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションに分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。

リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別できます。各ICAストリームは、優先順位付けのために独自のデフォルトのQoSクラスを持つ個別のアプリケーションとして分類されます。

  • マルチストリームICA機能を正しく動作させるには、SD-WANスタンダードエディション10.1以上、またはSD-WANプレミアムエディションが必要です。

  • HDXユーザーベースのレポートをSDWAN-Centerに表示するには、SD-WANスタンダードエディションまたはプレミアムエディション11.0以上が必要です。

HDX情報仮想チャネルの最小ソフトウェア要件:

  • Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。

  • マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。Citrix Workspaceアプリの機能マトリックスで、 NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insight を探します。現在サポートされているリリースバージョンについては、HDXインサイトを参照してください。

分類されると、ICAアプリケーションはアプリケーションルールで使用でき、他の分類アプリケーションと同様のアプリケーション統計を表示できます。

ICAアプリケーションには、次の優先度タグごとに5つのデフォルトアプリケーションルールがあります。

  • 独立コンピューティングアーキテクチャ(Citrix)(ICA)
  • ICAリアルタイム (ica_priority_0)
  • ICAインタラクティブ (ica_priority_1)
  • ICAバルク転送 (ica_prority_2)
  • ICA背景 (ica_priority_3)

詳しくは、「アプリケーション名による規則」を参照してください。

単一ポートでマルチストリームICAをサポートしないソフトウェアの組み合わせを実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。

ICA IPとポートリストでは、HDX分類を処理するためにXA/XDポリシーで使用される非標準ポートを指定できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレス宛てのポートには「*」を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されていない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするために、L4 AppFlow レコードを送信するために使用されます。

ドメイン名ベースのアプリケーション分類

DPI 分類エンジンが強化され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析した後、DPI エンジンは IP 分類器を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。

ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーション操作、QoS、およびその他のルールの適用を容易にします。最大 64 個のドメイン名ベースのアプリケーションを設定できます。

ドメイン名ベースのアプリケーションを定義するには、構成エディタで [ グローバル ] > [ アプリケーション ] > [ ドメイン名ベースのアプリケーション] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力するか、先頭にワイルドカードを使用できます。次のドメイン名形式を使用できます。

  • example.com
  • *.example.com

ドメイン名ベースのアプリケーション

分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。

制限事項

  • ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
  • ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプを持つ 80 ~ 443 の範囲でアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
  • 明示的な Web プロキシが設定されている場合、DNS 応答が常に同じ IP アドレスを返さないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
  • ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類技術に基づいて行われます。
  • ドメイン名に基づくアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
  • 標準の DNS クエリとその応答のみが処理されます。
  • AAAA レコードまたは IPv6 レコードはサポートされていません
  • 複数のパケットに分割された DNS 応答レコードは処理されません。1 つのパケット内の DNS 応答だけが処理されます。
  • TCP を介した DNS はサポートされていません。
  • トップレベルドメインのみがドメイン名パターンとしてサポートされます。

暗号化されたトラフィックの分類

Citrix SD-WAN アプライアンスは、次の2つの方法で、アプリケーションレポートの一部として暗号化されたトラフィックを検出してレポートします。

  • HTTPSトラフィックの場合、DPIエンジンはSSL証明書を検査してサービスの名前(FacebookやTwitterなど)を運ぶ共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (電子メール、ニュースなど) に 1 つの証明書しか使用できない場合があります。異なるサービスが異なる証明書を使用する場合、DPI エンジンはサービスを区別できます。
  • 独自の暗号化プロトコルを使用するアプリケーションでは、DPI エンジンはフロー内のバイナリパターンを検索します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを検索し、アプリケーションを決定します。

アプリケーション分類設定を構成するには、次の手順に従います。

  1. 構成エディタで、[ グローバル ] > [ アプリケーション ] > [ 設定] をクリックします。

    アプリケーション設定

    マルチポート展開用に追加のICAポートを追加する場合は、これらのポートをWAN最適化アプリケーション分類子に追加する必要があります。そうしないと、3 つの追加ポートのトラフィックが wanop に転送されません。ICAが最適化するように構成されている場合、デフォルトの2598ポートのみが転送されます。

    WANOP アプリケーション分類器g)

  2. [ ディープパケットインスペクションを有効にする] を選択します。これにより、アプライアンスでのアプリケーションの分類が有効になります。SD-WAN Centerでは、アプリケーションの統計情報を表示、監視できます。詳しくは、「アプリケーションレポート」を参照してください。

    デフォルトでは、 ディープパケットインスペクションの有効化(Enable Deep Packet Inspection )は、分類されたデータの統計情報を収集します。

  3. Citrix ICAアプリケーションのディープ・パケット・インスペクションを有効にする]を選択します。これにより、Citrix ICAアプリケーションの分類が可能になり、ユーザー、セッション、フロー数の統計が収集されます。このオプションを有効にしないと、HDXトラフィックのフレーバーの一部が分類され、QoEが計算されますが、SD-WAN Centerの統計情報は利用できません。SD-WAN Centerでは、ICAアプリケーションの統計情報を表示、監視できます。このオプションは、デフォルトで有効になっています。詳しくは、「HDXレポート」を参照してください。

  4. HDXユーザーレポートを有効にする ]を選択して、新しく追加されたユーザーベースのレポート([HDXサマリー]、[HDXユーザーセッション]、[ HDXアプリ])を生成します。これらのレポートは、SD-WAN Centerで使用できます。これは、 HDXサイト統計 レポートには適用されません。このオプションは、DPIを有効にするオプションと同様に、グローバルレベルとサイトレベルで使用できます。サイトレベルで HDXユーザーレポートを有効にするには構成エディターで[ 接続]>[アプリケーション]をクリックします。

    HDXレポートを有効にする

  5. DPI ICAポートで、HDX分類を処理するXA/XDポリシーで使用される非標準ポートを指定します。標準ポート番号 2598 または 1494 をこのリストに含めないでください。これらのポート番号はすでに内部に含まれています。

  6. DPI ICA IPで、ポートを特定の宛先にさらに制限するために使用するIPアドレスを指定します。

    任意の IP アドレス宛てのポートには「*」を使用します。

  7. [ 適用] をクリックします。

アプリケーション分類の設定は、各サイトで個別に構成できます。[ 接続] をクリックし、サイトを選択して、[ アプリケーション設定] をクリックします。グローバルアプリケーション設定を使用することもできます。

アプリケーションの検索

アプリケーションを検索して、アプリケーション・ファミリ名を特定できます。アプリケーションの簡単な説明も提供されます。

アプリケーションを検索するには、次の手順に従います。

  1. 構成エディターで、[ グローバル ] > [ アプリケーション] > [ 検索] をクリックします。

  2. 「検索」フィールドにアプリケーションの名前を入力し、「Enter」をクリックします。

    アプリケーションの簡単な説明とアプリケーション・ファミリ名が表示されます。

    アプリケーション検索

ディープパケットインスペクションを使用して SD-WAN アプライアンスが識別できるアプリケーションについては、アプリケーション署名ライブラリを参照してください。

アプリケーションオブジェクト

アプリケーションオブジェクトを使用すると、さまざまなタイプの一致基準を 1 つのオブジェクトにグループ化できます。これらのオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。

アプリケーション・オブジェクトを作成するには、次の手順に従います。

  1. 構成エディターで、「 グローバル 」>「 アプリケーション 」>「 アプリケーションオブジェクト」をクリックします。

  2. [ 追加 ] をクリックし、[ 名前 ] フィールドにオブジェクトの名前を入力します。

    アプリケーションオブジェクト

  3. Citrix SD-WAN Centerでカスタムアプリケーションレポートを表示できるようにするには、[レポートを有効にする]を選択します。詳しくは、「アプリケーションレポート」を参照してください。

  4. [ Priority ] フィールドに、アプリケーションオブジェクトの優先度を入力します。着信パケットが 2 つ以上のアプリケーションオブジェクト定義と一致すると、プライオリティが最も高いアプリケーションオブジェクトが適用されます。

  5. [ アプリケーション一致条件 ] セクションの [ + ] をクリックします。

  6. 次のいずれかの一致タイプを選択します。

    • IP プロトコル: プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーション: アプリケーション名、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーションファミリ:アプリケーションファミリを選択し、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
  7. アプリケーションの一致基準を追加するには、[ + ] をクリックします。

  8. [追加] をクリックします。

ファイアウォールでのアプリケーション分類の使用

トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーと規則を適用できます。これは、すべての前、ポスト、およびローカルポリシーに適用されます。ファイアウォールの詳細については、ステートフルファイアウォールと NAT のサポートを参照してください。

ファイアウォールのアプリケーション分類