Citrix SD-WAN

アプリケーション分類

Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。

  • DPI ライブラリの分類
  • シトリックス独自の独立コンピューティングアーキテクチャ(ICA)分類
  • アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
  • ドメイン名ベースのアプリケーション分類

DPI ライブラリの分類

ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。各接続のアプリケーション分類には、数個のパケットが必要です。

DPI ライブラリ分類を有効にするには、 構成エディタで [ グローバル] > [アプリケーション] > [DPI 設定 ] に移動し、[ディープパケットインスペクション を有効にする] チェックボックスをオンにします。

ICAの分類

Citrix SD-WANアプライアンスでは、仮想アプリおよびデスクトップのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。

  • ICA
  • ICA-CGP
  • シングルストリームICA(SSI)
  • マルチストリームICA(MSI)
  • TCP経由のICA
  • ICAオーバーUDP/EDT
  • 非標準ポート経由のICA(マルチポートICAを含む)
  • HDX アダプティブ トランスポート
  • WebSocket経由のICA(HTML5レシーバで使用)

SSL/TLSまたはDTLS 経由で配信されるICAトラフィックの分類は、SD-WAN Standard Editionではサポートされませんが、SD-WAN Premium EditionとSD-WAN WANOP Editionではサポートされます。

ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。

FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。

リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。

  • マルチストリームICA機能を正しく動作させるには、SD-WANStandard Edition10.1以降、またはSD-WAN Premium Editionが必要です。

  • SDWAN-CenterでHDXユーザーベースのレポートを表示するには、SD-WANStandard EditionまたはPremium Edition 11.0以降が必要です。

HDX情報仮想チャネルの最小ソフトウェア要件:

  • Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。

  • マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。Citrix Workspace app Feature Matrixで、 NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insightを探します。HDX Insightsで現在サポートされているリリースバージョンをご覧ください

分類されると、ICAアプリケーションはアプリケーションルールで使用され、他の分類されたアプリケーションと同様のアプリケーション統計を表示できます。

ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。

  • 独立コンピューティングアーキテクチャ(Citrix)(ICA)
  • ICA リアルタイム (ica_priority_0)
  • ICAインタラクティブ (ica_priority_1)
  • ICAバルクトランスファー (ica_prority_2)
  • ICAの背景 (ica_priority_3)

詳細については、「アプリケーション名別の 規則」を参照してください。

マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。非標準ポートでHDXをXA/XDサーバーポリシーで構成されているように分類するには、それらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。

ICA IPとポートリストで、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレス宛てのポートには ‘\ *’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。

ICAベースの分類を有効にするには、 構成エディターで、[ グローバル]>[アプリケーション]>[DPI設定 ]に移動し、[Citrix ICAアプリケーションのディープパケット検査 を有効にする] チェックボックスをオンにします。

アプリケーションベンダー API ベースの分類

Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。

ドメイン名ベースのアプリケーション分類

DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析した後、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。

ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。

ドメイン名ベースのアプリケーションを定義するには、構成エディタで [ グローバル]> [ アプリケーション] > [ ドメイン名ベースのアプリケーション] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。次のドメイン名の形式を使用できます。

  • example.com
  • *.example.com

ドメイン名ベースのアプリケーション

分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。

制限事項

  • ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
  • ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
  • 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
  • ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
  • ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
  • 標準 DNS クエリとその応答のみが処理されます。
  • AAAA レコードまたは IPv6 レコードはサポートされていません。
  • 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
  • TCP 経由の DNS はサポートされていません。
  • ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。

暗号化されたトラフィックの分類

Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。

  • HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。異なるサービスで異なる証明書を使用する場合、DPI エンジンはサービスを区別できます。
  • 独自の暗号化プロトコルを使用するアプリケーションの場合、DPI エンジンはフロー内のバイナリパターンを検索します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを検索し、アプリケーションを決定します。

アプリケーション分類設定を構成するには、次の手順に従います。

  1. 構成エディタで、[ グローバル] > [ **アプリケーション ]> [ **設定] をクリックします

アプリケーション設定

マルチポート展開用に追加のICAポートを追加する場合は、WAN最適化アプリケーション分類子でこれらのポートを追加する必要があります。そうしないと、3 つの追加ポートのトラフィックは wanop に転送されません。ICAが最適化するように構成されている場合、デフォルトの2598ポートのみが転送されます。

WANOP アプリケーション分類子g)

  1. [ディープパケットインスペクション を有効にする] を選択します。これにより、アプライアンスでアプリケーションの分類が可能になります。SD-WAN Centerでは、アプリケーションの統計情報を表示、監視できます。詳細については、「 アプリケーションレポート」を参照してください

デフォルトでは、[ディープパケットインスペクション の有効化] は、分類済みデータの統計 情報を収集します。

  1. [Citrix ICAアプリケーションのディープパケット検査 を有効にする]を選択します。 これにより、Citrix ICAアプリケーションの分類が可能になり、ユーザー、セッション、フロー数の統計が収集されます。このオプションを有効にしないと、HDXトラフィックのフレーバーの一部が分類され、QoEが計算されますが、SD-WAN Centerの統計情報は利用できません。SD-WAN Centerでは、ICAアプリケーションの統計情報を表示、監視できます。このオプションは、デフォルトで有効になっています。詳しくは、「 HDXレポート」を参照してください

  2. 新しく追加されたユーザーベースのレポート(HDXサマリー、HDXユーザーセッション、HDXアプリ)を生成 するには、[ HDXユーザーレポートを有効にする]を選択します。これらのレポートはSD-WANセンターで使用できます。これは、 HDXサイト統計 レポートには適用されません。このオプションは、DPI オプションを有効にするのと同様に、グローバルレベルおよびサイトレベルで使用できます。サイトレベルでHDXユーザーレポートを有効にするには、 構成エディターで「 接続」>「アプリケーション」の順にクリックします

HDXレポートを有効にする

  1. DPI ICAポートで、HDX分類を処理するXA/XDポリシーで使用する非標準ポートを指定します。標準ポート番号 2598 または 1494 は、内部的にすでに含まれているため、このリストには含めないでください。

  2. DPI ICA IPでは、ポートを特定の宛先にさらに制限するために使用するIPアドレスを指定します。

任意の IP アドレス宛てのポートには ‘*’ を使用します。

  1. [ 適用] をクリックします

アプリケーション分類設定は、各サイトで個別に構成できます。[ 接続] をクリックし、サイトを選択して [ アプリケーションの設定] をクリックします。また、グローバルアプリケーション設定を使用することもできます。

アプリケーションの検索

アプリケーションを検索して、アプリケーション・ファミリ名を特定できます。アプリケーションの簡単な説明も提供されます。

アプリケーションを検索する手順は、次のとおりです。

  1. 構成エディタで、[ グローバル] > [ **アプリケーション]> [ **検索] をクリックします

  2. [Search] フィールドにアプリケーションの名前を入力し、[Enter] をクリックします。

アプリケーションとアプリケーション・ファミリ名の簡単な説明が表示されます。

アプリケーション検索

次の機能は、マッチタイプとしてアプリケーションを使用します。

SD-WAN アプライアンスがディープパケットインスペクションを使用して識別できる アプリケーションについては、「アプリケーションシグネチャライブラリ」を参照してください

アプリケーションオブジェクト

アプリケーションオブジェクトを使用すると、異なるタイプの一致基準を 1 つのオブジェクトにグループ化できます。このオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。

次の機能では、アプリケーションオブジェクトを一致タイプとして使用します。

アプリケーション・オブジェクトを作成する手順は、次のとおりです。

  1. 構成エディタで、「 グローバル」 >「 アプリケーション」>アプリケーションオブジェクト」をクリックします

  2. 追加 」(Add) をクリックし、「 名前」(Name) フィールドにオブジェクトの名前を入力します。

アプリケーションオブジェクト

  1. [レポート を有効にする]を選択して 、Citrix SD-WAN Centerでカスタムアプリケーションレポートの表示を有効にします。詳細については、「 アプリケーションレポート」を参照してください

  2. [ Priority] フィールドに、アプリケーションオブジェクトの優先順位を入力します。着信パケットが 2 つ以上のアプリケーションオブジェクト定義と一致すると、プライオリティが最も高いアプリケーションオブジェクトが適用されます。

  3. [ アプリケーション一致条件] セクションで [ + ] をクリックします。

  4. 次のいずれかのマッチタイプを選択します。

  • [ IP プロトコル]: プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
  • アプリケーション:アプリケーション名、ネットワークIPアドレス、ポート番号、およびDSCPタグを指定します。
  • アプリケーションファミリ:アプリケーションファミリを選択し、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
  1. アプリケーション一致条件** を追加するには、[ **+] をクリックします。

  2. [ 追加] をクリックします

ファイアウォールでのアプリケーション分類の使用

トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーとルールを適用できます。これは、すべてのプレポリシー、ポストポリシー、およびローカルポリシーに適用されます。ファイアウォールの詳細については、「 ステートフルファイアウォールと NAT のサポート」を参照してください

ファイアウォールのアプリケーション分類

アプリケーション分類の表示

アプリケーションの分類を有効にすると、次のレポートでアプリケーション名とアプリケーション・ファミリの詳細を表示できます。

  • ファイアウォール接続の統計情報

  • フロー情報

  • アプリケーション統計

ファイアウォール接続の統計情報

構成エディタで、[ 監視] > [ファイアウォール] に移動します。[ 接続] セクションの [ アプリケーション] 列と [ ファミリ] 列には、アプリケーションおよび関連するファミリが一覧表示されます。

アプリケーション分類によるファイアウォール接続

アプリケーション分類を有効にしない場合、[アプリケーション] と [ ファミリ ] 列にはデータが表示されません。

アプリケーション分類なしのファイアウォール接続

フロー情報

構成エディタで、[ モニタリング] > [フロー] に移動します。「フロー・データ」セクションの「アプリケーション 」列に、アプリケーションの詳細が表示されます。

フロー情報

アプリケーション統計

構成エディタで、[ 監視] > [統計] に移動します。[ アプリケーション統計 ] セクションの [ アプリケーション ] 列に、アプリケーションの詳細が表示されます。

アプリケーション統計

トラブルシューティング

アプリケーションの分類を有効にしたら、[ Monitoring] セクションでレポートを表示し、アプリケーションの詳細を表示することができます。詳細は、「アプリケーション分類 の表示」を参照してください

予期しない動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。

STS バンドルは、[ 構成] > [システム保守] > [診断] > [診断情報] を使用して作成およびダウンロードできます。