アプリケーション分類
Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。
- DPI ライブラリの分類
- Citrix 独自の独立コンピューティングアーキテクチャ(ICA)分類
- アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
- ドメイン名ベースのアプリケーション分類
DPI ライブラリの分類
ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。各接続のアプリケーション分類には、数個のパケットが必要です。
Citrix SD-WAN Orchestrator サービスで DPI ライブラリ分類を有効にするには、「 DPI ライブラリの分類」を参照してください。
ICAの分類
Citrix SD-WANアプライアンスでは、Virtual Apps and DesktopsのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。
- ICA
- ICA-CGP
- シングルストリームICA(SSI)
- マルチストリームICA(MSI)
- TCP経由のICA
- ICAオーバーUDP/EDT
- 非標準ポート経由のICA(マルチポートICAを含む)
- HDX アダプティブ トランスポート
- WebSocket経由のICA(HTML5レシーバで使用)
注
SSL/TLSまたはDTLSを介して配信されるICAトラフィックの分類は、SD-WAN Standard Edition ではサポートされていません。
ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。
FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。
リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。
マルチストリームICA機能を正しく動作させるには、SD-WAN Standard Edition 10.1以降が必要です。
HDXユーザーベースのレポートをSDWAN-Centerに表示するには、SD-WAN Standard Edition 11.0以降が必要です。
HDX情報仮想チャネルの最小ソフトウェア要件:
Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。
マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。 Citrix Workspace アプリの機能マトリックスで、NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insightを探します。現在サポートされているリリースバージョンについては、 HDX Insightsを参照してください。
11.2以降のリリースでは、マルチストリームICAが使用中のHDXリアルタイムトラフィックでパケットの複製がデフォルトで有効になりました。
分類されると、ICAアプリケーションをアプリケーションルールで使用したり、他の分類済みアプリケーションと同様のアプリケーション統計を表示したりできます。
ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。
- 独立コンピューティングアーキテクチャ(Citrix)(ICA)
- ICA リアルタイム (ica_priority_0)
- ICAインタラクティブ (ica_priority_1)
- ICAバルクトランスファー (ica_prority_2)
- ICAの背景 (ica_priority_3)
詳細については、「 アプリケーション名別のルール」を参照してください。
マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。
ICA IPとポートの一覧では、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレスを宛先とするポートには ‘*’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されていない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。
Citrix SD-WAN Orchestrator サービスで ICA ベースの分類を有効にするには、 ICA 分類を参照してください。
アプリケーションベンダー API ベースの分類
Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。
-
Office 365。詳細については、「 Office 365 の最適化」を参照してください。
-
Citrix CloudおよびCitrix Gateway サービス。詳細については、「 Gatewayサービスの最適化」を参照してください。
ドメイン名ベースのアプリケーション分類
DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析すると、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。
ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。
Citrix SD-WAN Orchestrator サービスでドメイン名ベースのアプリケーションを定義するには、「 ドメイン名ベースのアプリケーション分類」を参照してください。
注
11.4.2 リリース以降、ドメイン名ベースのアプリケーションは、Citrix SD-WAN Orchestrator サービスで構成可能なポートとプロトコルをサポートします。詳しくは、「 ドメインとアプリケーション」を参照してください。
Citrix SD-WAN 11.5.0 以降のリリース以降、AAAA レコードはCitrix SD-WAN Orchestrator サービスでサポートされています。
制限事項
- ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
- ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
- 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
- ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
- ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
- 標準 DNS クエリとその応答のみが処理されます。
- 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
- TCP 経由の DNS はサポートされていません。
- ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。
暗号化されたトラフィックの分類
Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。
- HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。サービスによって使用する証明書が異なる場合、DPI エンジンはサービスを区別できます。
- 独自の暗号化プロトコルを使用するアプリケーションの場合、DPI エンジンはフロー内のバイナリパターンを探します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを探してアプリケーションを決定します。
アプリケーションオブジェクト
アプリケーションオブジェクトを使用すると、異なるタイプの一致基準を 1 つのオブジェクトにグループ化できます。このオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。
次の機能では、アプリケーションオブジェクトがマッチタイプとして使用されます。
ファイアウォールでのアプリケーション分類の使用
トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーとルールを適用できます。これは、すべてのプレポリシー、ポストポリシー、およびローカルポリシーに適用されます。ファイアウォールの詳細については、「 ステートフルファイアウォールと NAT のサポート」を参照してください。
—>
アプリケーション分類の表示
アプリケーションの分類を有効にすると、次のレポートでアプリケーション名とアプリケーション・ファミリの詳細を表示できます。
-
ファイアウォール接続の統計情報
-
フロー情報
-
アプリケーション統計
ファイアウォール接続の統計情報
監視 > ファイアウォールに移動します。[ 接続 ] セクションの [ アプリケーション ] 列と [ ファミリ ] 列には、アプリケーションとその関連ファミリが一覧表示されます。
アプリケーションの分類を使用可能にしない場合、「 アプリケーション 」列と「 ファミリ 」列にはデータが表示されません。
フロー情報
監視 > フローに移動します。「 フロー・データ 」セクションの「 アプリケーション 」列にアプリケーションの詳細がリストされます。
アプリケーション統計
[ 監視] > [統計] に移動します。[ アプリケーション統計 ] セクションの [ アプリケーション ] 列に、アプリケーションの詳細が表示されます。
トラブルシューティング
アプリケーションの分類を有効にした後、[ Monitoring ] セクションの下にレポートを表示し、アプリケーションの詳細が表示されることを確認できます。詳細については、 アプリケーション分類の表示を参照してください。
予期しない動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。
STS バンドルは、 [構成] > [システムメンテナンス] > [診断] > [診断情報]を使用して作成およびダウンロードできます。