Citrix SD-WAN

アプリケーション分類

Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。

  • DPI ライブラリの分類
  • シトリックス独自の独立コンピューティングアーキテクチャ(ICA)分類
  • アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
  • ドメイン名ベースのアプリケーション分類

DPI ライブラリの分類

ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。各接続のアプリケーション分類には、数個のパケットが必要です。

DPI ライブラリ分類を有効にするには、 構成エディタで、[ グローバル] > [アプリケーション] > [DPI 設定 ] に移動し、[ ディープパケットインスペクションを有効にする ] チェックボックスをオンにします。

ICAの分類

Citrix SD-WANアプライアンスでは、Virtual Apps and DesktopsのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。

  • ICA
  • ICA-CGP
  • シングルストリームICA(SSI)
  • マルチストリームICA(MSI)
  • TCP経由のICA
  • ICAオーバーUDP/EDT
  • 非標準ポート経由のICA(マルチポートICAを含む)
  • HDX アダプティブ トランスポート
  • WebSocket経由のICA(HTML5レシーバで使用)

SSL/TLSまたはDTLS 経由で配信されるICAトラフィックの分類は、SD-WAN Standard Editionではサポートされませんが、SD-WAN Premium EditionとSD-WAN WANOP Editionではサポートされます。

ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。

FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。

リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。

  • マルチストリームICA機能を正しく動作させるには、SD-WANStandard Edition10.1以降、またはSD-WAN Premium Editionが必要です。

  • SDWAN-CenterでHDXユーザーベースのレポートを表示するには、SD-WANStandard EditionまたはPremium Edition 11.0以降が必要です。

HDX情報仮想チャネルの最小ソフトウェア要件:

  • Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。

  • マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。Citrix Workspaceアプリの機能マトリックスで、 NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insight を探します。現在サポートされているリリースバージョンについては、HDXインサイトを参照してください。

分類されると、ICAアプリケーションはアプリケーションルールで使用され、他の分類されたアプリケーションと同様のアプリケーション統計を表示できます。

ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。

  • 独立コンピューティングアーキテクチャ(Citrix)(ICA)
  • ICA リアルタイム (ica_priority_0)
  • ICAインタラクティブ (ica_priority_1)
  • ICAバルクトランスファー (ica_prority_2)
  • ICAの背景 (ica_priority_3)

詳しくは、「アプリケーション名による規則」を参照してください。

マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。

ICA IPとポートリストで、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレス宛てのポートには ‘*’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。

ICAベースの分類を有効にするには、 構成エディタでグローバル]>[アプリケーション]>[DPI設定 ]に移動し、 [Citrix ICAアプリケーションのディープパケットインスペクションを有効にする ]チェックボックスをオンにします。

アプリケーションベンダー API ベースの分類

Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。

ドメイン名ベースのアプリケーション分類

DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析した後、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。

ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。

ドメイン名ベースのアプリケーションを定義するには、構成エディタで [ グローバル ] > [ アプリケーション ] > [ ドメイン名ベースのアプリケーション] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。次のドメイン名の形式を使用できます。

  • example.com
  • *.example.com

ドメイン名ベースのアプリケーション

分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。

制限事項

  • ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
  • ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
  • 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
  • ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
  • ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
  • 標準 DNS クエリとその応答のみが処理されます。
  • AAAA レコードまたは IPv6 レコードはサポートされていません。
  • 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
  • TCP 経由の DNS はサポートされていません。
  • ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。

暗号化されたトラフィックの分類

Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。

  • HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。異なるサービスで異なる証明書を使用する場合、DPI エンジンはサービスを区別できます。
  • 独自の暗号化プロトコルを使用するアプリケーションの場合、DPI エンジンはフロー内のバイナリパターンを検索します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを検索し、アプリケーションを決定します。

アプリケーション分類設定を構成するには、次の手順に従います。

  1. 構成エディタで、[ グローバル ] > [ アプリケーション ] > [ 設定] をクリックします。

    アプリケーション設定

    マルチポート展開用に追加のICAポートを追加する場合は、WAN最適化アプリケーション分類子でこれらのポートを追加する必要があります。そうしないと、3 つの追加ポートのトラフィックは wanop に転送されません。ICAが最適化するように構成されている場合、デフォルトの2598ポートのみが転送されます。

    WANOP アプリケーション分類器g)

  2. [ ディープパケットインスペクションを有効にする] を選択します。これにより、アプライアンスでアプリケーションの分類が可能になります。SD-WAN Centerでは、アプリケーションの統計情報を表示、監視できます。詳しくは、「アプリケーションレポート」を参照してください。

    デフォルトでは、 ディープパケットインスペクションの有効化(Enable Deep Packet Inspection )は、分類されたデータの統計情報を収集します。

  3. Citrix ICAアプリケーションのディープ・パケット・インスペクションを有効にする]を選択します。これにより、Citrix ICAアプリケーションの分類が可能になり、ユーザー、セッション、フロー数の統計が収集されます。このオプションを有効にしないと、HDXトラフィックのフレーバーの一部が分類され、QoEが計算されますが、SD-WAN Centerの統計情報は利用できません。SD-WAN Centerでは、ICAアプリケーションの統計情報を表示、監視できます。このオプションは、デフォルトで有効になっています。詳しくは、「HDXレポート」を参照してください。

  4. HDXユーザーレポートを有効にする ]を選択して、新しく追加されたユーザーベースのレポート([HDXサマリー]、[HDXユーザーセッション]、[ HDXアプリ])を生成します。これらのレポートは、SD-WAN Centerで使用できます。これは、 HDXサイト統計 レポートには適用されません。このオプションは、DPI オプションを有効にするのと同様に、グローバルレベルおよびサイトレベルで使用できます。サイトレベルで HDXユーザーレポートを有効にするには構成エディターで[ 接続]>[アプリケーション]をクリックします。

    HDXレポートを有効にする

  5. DPI ICAポートで、HDX分類を処理するXA/XDポリシーで使用される非標準ポートを指定します。標準ポート番号 2598 または 1494 は、内部的にすでに含まれているため、このリストには含めないでください。

  6. DPI ICA IPで、ポートを特定の宛先にさらに制限するために使用するIPアドレスを指定します。

    任意の IP アドレス宛てのポートには ‘*’ を使用します。

  7. [ 適用] をクリックします。

アプリケーション分類の設定は、各サイトで個別に構成できます。[ 接続] をクリックし、サイトを選択して、[ アプリケーション設定] をクリックします。また、グローバルアプリケーション設定を使用することもできます。

アプリケーションの検索

アプリケーションを検索して、アプリケーション・ファミリ名を特定できます。アプリケーションの簡単な説明も提供されます。

アプリケーションを検索する手順は、次のとおりです。

  1. 構成エディターで、[ グローバル ] > [ アプリケーション] > [ 検索] をクリックします。

  2. [Search] フィールドにアプリケーションの名前を入力し、[Enter] をクリックします。

    アプリケーションとアプリケーション・ファミリ名の簡単な説明が表示されます。

    アプリケーション検索

次の機能は、マッチタイプとしてアプリケーションを使用します。

ディープパケットインスペクションを使用して SD-WAN アプライアンスが識別できるアプリケーションについては、アプリケーション署名ライブラリを参照してください。

アプリケーションオブジェクト

アプリケーションオブジェクトを使用すると、異なるタイプの一致基準を 1 つのオブジェクトにグループ化できます。このオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。

次の機能では、アプリケーションオブジェクトを一致タイプとして使用します。

アプリケーション・オブジェクトを作成する手順は、次のとおりです。

  1. 構成エディターで、「 グローバル 」>「 アプリケーション 」>「 アプリケーションオブジェクト」をクリックします。

  2. [ 追加 ] をクリックし、[ 名前 ] フィールドにオブジェクトの名前を入力します。

    アプリケーションオブジェクト

  3. Citrix SD-WAN Centerでカスタムアプリケーションレポートを表示できるようにするには、[レポートを有効にする]を選択します。詳しくは、「アプリケーションレポート」を参照してください。

  4. [ Priority ] フィールドに、アプリケーションオブジェクトの優先度を入力します。着信パケットが 2 つ以上のアプリケーションオブジェクト定義と一致すると、プライオリティが最も高いアプリケーションオブジェクトが適用されます。

  5. [ アプリケーション一致基準 ] セクションで [ + ] をクリックします。

  6. 次のいずれかのマッチタイプを選択します。

    • IP プロトコル: プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーション: アプリケーション名、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーションファミリ:アプリケーションファミリを選択し、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
  7. アプリケーションの一致基準を追加するには、[ + ] をクリックします。

  8. [追加] をクリックします。

ファイアウォールでのアプリケーション分類の使用

トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーとルールを適用できます。これは、すべてのプレポリシー、ポストポリシー、およびローカルポリシーに適用されます。ファイアウォールの詳細については、ステートフルファイアウォールと NAT のサポートを参照してください。

ファイアウォールのアプリケーション分類

アプリケーション分類の表示

アプリケーションの分類を有効にすると、次のレポートでアプリケーション名とアプリケーション・ファミリの詳細を表示できます。

  • ファイアウォール接続の統計情報

  • フロー情報

  • アプリケーション統計

ファイアウォール接続の統計情報

構成エディタで、[監視] > [ファイアウォール]に移動します。[ 接続 ] セクションの [ アプリケーション ] 列と [ ファミリ ] 列には、アプリケーションとその関連ファミリが一覧表示されます。

アプリケーション分類によるファイアウォール接続

アプリケーションの分類を使用可能にしない場合、「 アプリケーション 」列と「 ファミリ 」列にはデータが表示されません。

アプリケーション分類なしのファイアウォール接続

フロー情報

構成エディタで、[監視] > [フロー]に移動します。「 フロー・データ 」セクションの「 アプリケーション 」列にアプリケーションの詳細がリストされます。

フロー情報

アプリケーション統計

構成エディタで、[監視] > [統計]に移動します。[ アプリケーション統計 ] セクションの [ アプリケーション ] 列に、アプリケーションの詳細が表示されます。

アプリケーション統計

トラブルシューティング

アプリケーションの分類を有効にした後、[ Monitoring ] セクションの下にレポートを表示し、アプリケーションの詳細が表示されることを確認できます。詳しくは、「アプリケーション分類の表示」を参照してください。

予期しない動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。

STS バンドルは、 [構成] > [システムメンテナンス] > [診断] > [診断情報]を使用して作成およびダウンロードできます。