Citrix SD-WAN

アプリケーション分類

Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。

  • DPI ライブラリの分類
  • Citrix 独自の独立コンピューティングアーキテクチャ(ICA)分類
  • アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
  • ドメイン名ベースのアプリケーション分類

DPI ライブラリの分類

ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。各接続のアプリケーション分類には、数個のパケットが必要です。

DPI ライブラリ分類を有効にするには、 構成エディタで、[ グローバル] > [アプリケーション] > [DPI 設定 ] に移動し、[ ディープパケットインスペクションを有効にする ] チェックボックスをオンにします。

ICAの分類

Citrix SD-WANアプライアンスでは、Virtual Apps and DesktopsのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。

  • ICA
  • ICA-CGP
  • シングルストリームICA(SSI)
  • マルチストリームICA(MSI)
  • TCP経由のICA
  • ICAオーバーUDP/EDT
  • 非標準ポート経由のICA(マルチポートICAを含む)
  • HDX アダプティブ トランスポート
  • WebSocket経由のICA(HTML5レシーバで使用)

SSL/TLSまたはDTLS 経由で配信されるICAトラフィックの分類は、SD-WAN Standard Editionではサポートされませんが、SD-WAN Premium EditionとSD-WAN WANOP Editionではサポートされます。

ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。

FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。

リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。

  • マルチストリームICA機能を正しく動作させるには、SD-WANStandard Edition10.1以降、またはSD-WAN Premium Editionが必要です。

  • SDWAN-CenterでHDXユーザーベースのレポートを表示するには、SD-WANStandard EditionまたはPremium Edition 11.0以降が必要です。

HDX情報仮想チャネルの最小ソフトウェア要件:

  • Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。

  • マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。 Citrix Workspace アプリの機能マトリックスで、NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insightを探します。現在サポートされているリリースバージョンについては、 HDX Insightsを参照してください。

  • 11.2以降のリリースでは、マルチストリームICAが使用中のHDXリアルタイムトラフィックでパケットの複製がデフォルトで有効になりました。

分類されると、ICAアプリケーションをアプリケーションルールで使用したり、他の分類済みアプリケーションと同様のアプリケーション統計を表示したりできます。

ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。

  • 独立コンピューティングアーキテクチャ(Citrix)(ICA)
  • ICA リアルタイム (ica_priority_0)
  • ICAインタラクティブ (ica_priority_1)
  • ICAバルクトランスファー (ica_prority_2)
  • ICAの背景 (ica_priority_3)

詳細については、「 アプリケーション名別のルール」を参照してください。

マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。

ICA IPとポートの一覧では、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレスを宛先とするポートには ‘*’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されていない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。

ICAベースの分類を有効にするには、 構成エディタでグローバル]>[アプリケーション]>[DPI設定 ]に移動し、 [Citrix ICAアプリケーションのディープパケットインスペクションを有効にする ]チェックボックスをオンにします。

アプリケーションベンダー API ベースの分類

Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。

ドメイン名ベースのアプリケーション分類

DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析すると、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。

ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。

ドメイン名ベースのアプリケーションを定義するには、設定エディタで、[ グローバル ] > [ アプリケーション ] > [ ドメイン名ベースのアプリケーション] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。次のドメイン名の形式を使用できます。

  • example.com
  • *.example.com

ドメイン名ベースのアプリケーション

分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。

11.4.2 リリース以降、ドメイン名ベースのアプリケーションは、Citrix SD-WAN Orchestrator サービスで構成可能なポートとプロトコルをサポートします。詳しくは、「 ドメインとアプリケーション」を参照してください。

制限事項

  • ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
  • ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
  • 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
  • ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
  • ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
  • 標準 DNS クエリとその応答のみが処理されます。
  • AAAA レコードまたは IPv6 レコードはサポートされていません。
  • 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
  • TCP 経由の DNS はサポートされていません。
  • ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。

暗号化されたトラフィックの分類

Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。

  • HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。サービスによって使用する証明書が異なる場合、DPI エンジンはサービスを区別できます。
  • 独自の暗号化プロトコルを使用するアプリケーションの場合、DPI エンジンはフロー内のバイナリパターンを探します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを探してアプリケーションを決定します。

アプリケーション分類設定を構成するには、次の手順に従います。

  1. 構成エディタで、[ グローバル ] > [ アプリケーション ] > [ 設定]をクリックします。

    アプリケーション設定

    マルチポート展開用に追加のICAポートを追加する場合は、WAN最適化アプリケーション分類子でこれらのポートを追加する必要があります。そうしないと、3 つの追加ポートのトラフィックは WANOP に転送されません。ICAが最適化するように構成されている場合、デフォルトの2598ポートのみが転送されます。

    WANOP アプリケーション分類子g)

  2. [ ディープパケットインスペクションを有効にする] を選択します。これにより、アプライアンスでアプリケーションの分類が可能になります。SD-WAN Centerでは、アプリケーションの統計情報を表示、監視できます。詳細については、「 アプリケーションレポート」を参照してください。

    デフォルトでは、 ディープパケットインスペクションを有効にすると 、分類されたデータの統計情報が収集されます。

  3. Citrix ICA アプリケーションのディープパケットインスペクションを有効にする]を選択します。これにより、Citrix ICA アプリケーションの分類が可能になり、ユーザー、セッション、およびフローカウントの統計情報が収集されます。このオプションを有効にしないと、HDXトラフィックのフレーバーの一部が分類され、QoEが計算されますが、SD-WAN Centerの統計情報は利用できません。SD-WAN Centerでは、ICAアプリケーションの統計情報を表示、監視できます。このオプションは、デフォルトで有効になっています。詳しくは、 HDX レポートを参照してください

  4. HDXユーザーレポートを有効にする ]を選択して、新しく追加されたユーザーベースのレポート([HDXサマリー]、[HDXユーザーセッション]、[ HDXアプリ])を生成します。これらのレポートは、SD-WAN Centerで使用できます。これは、 HDXサイト統計レポートには適用されません 。このオプションは、DPI オプションを有効にするのと同様に、グローバルレベルおよびサイトレベルで使用できます。 HDX User Reportingをサイトレベルで有効にするには構成エディタで、[ 接続] > [アプリケーション] の順にクリックします。

    HDXレポートを有効にする

  5. DPI ICAポートで、HDX分類を処理するXA/XDポリシーで使用される非標準ポートを指定します。標準ポート番号 2598 または 1494 は、内部的にすでに含まれているため、このリストには含めないでください。

  6. [ DPI ICA IP] で、ポートを特定の宛先にさらに制限するために使用する IP アドレスを指定します。

    任意の IP アドレスを宛先とするポートには ‘*’ を使用します。

  7. [ 適用] をクリックします。

アプリケーション分類設定は、各サイトで個別に構成できます。[ 接続] をクリックし、サイトを選択して、[ アプリケーションの設定] をクリックします。また、グローバルアプリケーション設定を使用することもできます。

アプリケーションの検索

アプリケーションを検索して、アプリケーション・ファミリ名を特定できます。アプリケーションの簡単な説明も提供されます。

アプリケーションを検索する手順は、次のとおりです。

  1. 構成エディターで、[ グローバル ] > [ アプリケーション] > [ 検索] をクリックします。

  2. [Search] フィールドにアプリケーションの名前を入力し、[Enter] をクリックします。

    アプリケーションとアプリケーション・ファミリ名の簡単な説明が表示されます。

    アプリケーション検索

次の機能では、このアプリケーションをマッチタイプとして使用します。

SD-WAN アプライアンスがディープパケットインスペクションを使用して識別できるアプリケーションについては、アプリケーションシグニチャライブラリを参照してください

アプリケーションオブジェクト

アプリケーションオブジェクトを使用すると、異なるタイプの一致基準を 1 つのオブジェクトにグループ化できます。このオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。

次の機能では、アプリケーションオブジェクトがマッチタイプとして使用されます。

アプリケーション・オブジェクトを作成する手順は、次のとおりです。

  1. 構成エディタで、[ グローバル ] > [ アプリケーション ] > [ アプリケーションオブジェクト] をクリックします。

  2. [ 追加 ] をクリックし、[ 名前 ] フィールドにオブジェクトの名前を入力します。

    アプリケーションオブジェクト

  3. Citrix SD-WAN Centerでのカスタムアプリケーションレポートの表示を有効にするには、[レポートを有効にする]を選択します。 詳細については、「 アプリケーションレポート」を参照してください。

  4. [ Priority ] フィールドに、アプリケーションオブジェクトの優先度を入力します。着信パケットが 2 つ以上のアプリケーションオブジェクト定義と一致すると、プライオリティが最も高いアプリケーションオブジェクトが適用されます。

  5. [ アプリケーション一致基準 ] セクションの [ + ] をクリックします。

  6. 次のいずれかのマッチタイプを選択します。

    • IP プロトコル:プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーション:アプリケーション名、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
    • アプリケーションファミリ:アプリケーションファミリを選択し、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
  7. [ + ] をクリックして、アプリケーションの一致基準をさらに追加します。

  8. [追加] をクリックします。

ファイアウォールでのアプリケーション分類の使用

トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーとルールを適用できます。これは、すべてのプレポリシー、ポストポリシー、およびローカルポリシーに適用されます。ファイアウォールの詳細については、「 ステートフルファイアウォールと NAT のサポート」を参照してください。

ファイアウォールのアプリケーション分類

アプリケーション分類の表示

アプリケーションの分類を有効にすると、次のレポートでアプリケーション名とアプリケーション・ファミリの詳細を表示できます。

  • ファイアウォール接続の統計情報

  • フロー情報

  • アプリケーション統計

ファイアウォール接続の統計情報

構成エディタで、[監視] > [ファイアウォール]に移動します。[ 接続 ] セクションの [ アプリケーション ] 列と [ ファミリ ] 列には、アプリケーションとその関連ファミリが一覧表示されます。

アプリケーション分類によるファイアウォール接続

アプリケーションの分類を使用可能にしない場合、「 アプリケーション 」列と「 ファミリ 」列にはデータが表示されません。

アプリケーション分類なしのファイアウォール接続

フロー情報

設定エディタで、[ モニタリング] > [フロー] に移動します。「 フロー・データ 」セクションの「 アプリケーション 」列にアプリケーションの詳細がリストされます。

フロー情報

アプリケーション統計

構成エディタで、[監視] > [統計]に移動します。[ アプリケーション統計 ] セクションの [ アプリケーション ] 列に、アプリケーションの詳細が表示されます。

アプリケーション統計

トラブルシューティング

アプリケーションの分類を有効にした後、[ Monitoring ] セクションの下にレポートを表示し、アプリケーションの詳細が表示されることを確認できます。詳細については、 アプリケーション分類の表示を参照してください

予期しない動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。

STS バンドルは、 [構成] > [システムメンテナンス] > [診断] > [診断情報]を使用して作成およびダウンロードできます。