应用程序和 DNS 设置

本部分允许用户自定义应用程序、将应用程序分组以便在策略中使用、QoS 配置文件以及 DNS 设置。

您可以为预定义和自定义应用程序定义应用程序组应用程序组包含在定义安全策略时需要类似处理的应用程序。

在定义策略(如应用程序转向或防火墙规则)时,您可以频繁重复使用应用程序组。它无需为每个应用程序创建多个条目。同样,使用任何应用程序服务时,应用程序组都支持通用应用程序的唯一名称,以简化和一致地重复使用。

要查看应用程序和 DNS 设置,请导航到配置 > 应用程序和 DNS 设置

应用程序设置

Citrix SD-WAN 设备执行深度数据包检查 (DPI) 来识别应用程序并对其进行分类。DPI 库可识别成千上万的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。

默认情况下,对网络中的所有站点启用 DPI。禁用 DPI 将停止设备上的 DPI 分类功能。您不能再使用 DPI 分类的应用程序/应用程序类别来配置防火墙、QoS 和路由策略。您也无法查看热门应用程序和应用程序类别报告。

要禁用全局 DPI,请在网络级别导航到配置 > 应用程序和 DNS 设置 > 应用程序设置,然后清除启用全局 DPI 复选框选项。

应用程序设置

您还可以选择仅通过覆盖全局 DPI 设置来禁用某些站点的 DPI。要禁用选定站点的 DPI,请将站点添加到“站点覆盖”列表中。

自定义应用程序

自定义应用程序用于创建已发布应用程序列表中不可用的内部应用程序或 IP 端口组合。管理员需要定义可以在多个策略中使用的自定义应用程序,而不需要每次都引用 IP 地址和端口号的详细信息。

管理员可以根据 IP 协议或域名定义自定义应用程序。

要使用 IP 协议创建自定义应用程序,请单击 + 自定义应用程序,然后提供自定义应用程序的名称。指定匹配条件,例如 IP 协议、网络 IP 地址、端口号和 DSCP 标记。符合此条件的数据流被分组为自定义应用程序。

应用程序 DNS

保存后,自定义应用程序将显示在列表中,可以根据需要对其进行编辑或删除。

您还可以将多个域名分组为应用程序。要基于域名创建自定义应用程序,请选择基于域名。输入应用程序名称和所需的域名或模式。您可以在开头输入完整域名或使用通配符。例如-*.google.com。

域

所有基于域名的自定义应用程序均在应用程序路由、应用程序规则防火墙配置文件中可见。

注意

要使用基于自定义名称的应用程序,必须在创建应用程序路由和防火墙策略时将匹配条件列为应用程序。

创建自定义应用程序后,要执行应用程序路由,请导航到路由 > 路由策略 > + 应用程序路由,然后在应用程序下拉列表下选择自定义应用程序。

应用路由自定义应用

您还可以在 IP 协议自定义应用程序的匹配条件下选择基于 DNS 的自定义应用程序。

IP 协议定制应用程序

同样,要在防火墙配置文件下查看自定义应用程序,请导航到安全 > 防火墙配置文件。该应用程序可用于任何类型的配置文件(全球覆盖/站点特定/全球配置文件)。在防火墙规则 > 匹配条件 > 下单击创建新规则,从应用程序下拉列表中选择自定义应用程序。

防火墙配置文件定制

您可以在“全局”或“站点/组特定规则”下查看基于 DNS 的自定义应用程序。要在应用程序规则下查看自定义应用程序,请导航到应用程序匹配条件下的 QoS > QoS 策略 > 全局规则 > 应用程序规则,从应用程序下拉列表中选择自定义应用程序。

应用规则自定义应用

单击验证配置以验证任何审计错误。

应用程序组

应用程序组可帮助管理员将类似的应用程序分组在一起,以便在通用策略中使用,而无需为每个应用程序创建策略。

应用程序组

您可以使用添加应用程序组选项创建应用程序组。创建策略时,可以按应用程序角色引用同一应用程序组。为特定组定义的策略将应用于与特定类别相匹配的每个应用程序。

例如,您可以将应用程序组创建为社交网络,然后将 Facebook、LinkedIn 和 Twitter 等社交网络添加到该组中,以便为社交网络应用程序定义某些策略。

要创建应用程序组,请从应用程序列表中指定组名称、搜索和添加应用程序。您可以随时返回编辑设置或根据需要删除应用程序组

应用程序组

单击验证配置以验证任何审计错误。

应用程序质量档

此部分使您能够查看和创建应用程序质量配置文件。

应用质量简介

应用程序 QoE 是衡量 SD-WAN 网络中应用程序体验质量的衡量标准。它测量通过两个 SD-WAN 设备之间的虚拟路径的应用程序的质量。

应用程序 QoE 分数是介于 0 到 10 之间的值。它所属的分数范围决定了应用程序的质量。

质量 范围
良好 8–10
一般 4–8
不佳 0–4

应用程序 QoE 分数可用于衡量应用程序的质量并识别有问题的趋势。

配置式配置

单击 + QoE 配置文件以创建 QoE 配置文件,指定配置文件名称,然后从下拉列表中选择流量类型。

QoE 个人资料

实时配置

您可以使用 QoE 配置文件定义实时和交互式设备的质量阈值,并将这些配置文件映射到应用程序或应用程序对象。

实时应用程序的应用程序 QoE 计算使用 Citrix 创新技术,该技术来自 MOS 分数。

默认阈值为:

  • 延迟阈值(毫秒):160
  • 抖动阈值(毫秒):30
  • 数据包丢失阈值 (%):2

满足延迟、损耗和抖动阈值的实时应用程序流被认为具有良好的质量。

实时应用的 QoE 取决于达到阈值的流量百分比除以流量样本总数。

实时 QoE =(达到阈值的流量样本数量/流量样本总数)* 100

它被表示为 QoE 分数范围从 0 到 10。

交互式配置

交互式应用程序的应用程序 QoE 使用基于丢包和突发速率阈值的 Citrix 创新技术。

交互式应用程序对数据包丢失和吞吐量很敏感。因此,我们测量流中的数据包丢失百分比以及入口和出口流量的突发率。

可配置阈值为:

  • 数据包丢失百分比。
  • 预期出口突发率与入口突发率的比较。

默认阈值为:

  • 数据包丢失阈值:1%
  • 爆发率:60%

如果满足以下条件,则流程质量良好:

  • 流的百分比损失小于配置的阈值。

  • 出口突发率至少是已配置的入口突发率百分比。

应用质量配置

将应用程序或应用程序对象映射到默认或自定义 QoE 配置文件。您可以为实时和交互式流量创建自定义 QoE 配置文件。

单击 +QoE 配置以创建自定义 QoE 配置文件:

  • 类型:选择 DPI 应用程序或应用程序对象(应用程序、应用程序和应用程序组)。
  • 应用程序:根据选定的类型搜索并选择应用程序或应用程序对象。
  • QoE 配置文件:选择要映射到应用程序或应用程序对象的 QoE 配置文件。

应用质量配置

单击“完成”

单击验证配置以验证任何审计错误。

DNS 服务器

您可以配置 DNS 请求路由到的特定 DNS 服务器。

输入 DNS 服务器的名称,并指定主 DNS 服务器 IP 地址和辅助 DNS 服务器 IP 地址。可以创建内部、ISP、Google 或任何其他开源 DNS 服务。

DNS 服务器

单击验证配置以验证任何审计错误。

代理自动配置

随着企业对任务关键型 SaaS 应用程序和分布式员工的采用率的增加,减少延迟和拥堵变得非常重要。延迟和拥堵是通过数据中心追加流量的传统方法所固有的。Citrix SD-WAN 允许直接互联网突破的 SaaS 应用程序,如 Office 365.有关详细信息,请参阅 Office 365 优化

如果在企业部署上配置了显式 Web 代理,则所有流量都会转向 Web 代理,从而难以进行分类和直接互联网突破。解决方案是通过自定义企业 PAC(代理自动配置)文件来排除 SaaS 应用程序流量获取代理。

Citrix SD-WAN 11.0 通过动态生成和提供自定义 PAC 文件,允许对 Office 365 应用程序流量进行代理绕过和本地互联网突破。PAC 文件是一个 JavaScript 函数,用于定义 Web 浏览器请求是直接进入目标还是 Web 代理服务器。

PAC 文件自定义的工作原理

理想情况下,企业网络主机 PAC 文件在内部 Web 服务器上,这些代理设置通过组策略分发。客户端浏览器从企业 Web 服务器请求 PAC 文件。Citrix SD-WAN 设备为启用 Office 365 分组的站点提供自定义 PAC 文件。

PAC 文件自定义

  1. Citrix SD-WAN 定期从企业 Web 服务器请求并检索企业 PAC 文件的最新副本。Citrix SD-WAN 设备将 Office 365 URL 修补到企业 PAC 文件。企业 PAC 文件预计将具有占位符(SD-WAN 特定标签),其中 Office 365 URL 无缝修补。

  2. 客户端浏览器向企业 PAC 文件主机发出 DNS 请求。Citrix SD-WAN 拦截代理配置文件 FQDN 的请求,并使用 Citrix SD-WAN VIP 进行响应。

  3. 客户端浏览器请求 PAC 文件。Citrix SD-WAN 设备在本地提供修补的 PAC 文件。PAC 文件包括企业代理配置和 Office 365 URL 排除策略。

  4. 在收到 Office 365 应用程序的请求后,Citrix SD-WAN 设备将直接执行互联网突围。

必备条件

  1. 企业必须托管 PAC 文件。

  2. PAC 文件必须具有占位符 SDWAN_TAG, 或者一个 findproxyforurl 函数用于修补 Office 365 URL。

  3. PAC 文件 URL 必须基于域,而不是基于 IP。

  4. PAC 文件仅通过受信任的身份 VIP 提供。

  5. Citrix SD-WAN 设备必须能够通过其管理界面下载企业 PAC 文件。

配置代理自动配置

在 SD-WAN Orchestartor UI 中,在网络级别,导航到配置 > 应用程序和 DNS 设置 > 代理自动配置,然后单击 + PAC 文件配置文件

代理自动配置

输入 PAC 文件配置文件的名称,提供企业 PAC 文件服务器的 URL。Office 365 突破规则动态修补到企业 PAC 文件。

选择应用 PAC 文件配置文件的站点。如果每个站点有不同的 URL,请为每个站点创建不同的配置文件。

限制

  • 不支持 HTTPS PAC 文件服务器请求。

  • 不支持网络中的多个 PAC 文件,包括路由域或安全区域的 PAC 文件。

  • 不支持从头在 Citrix SD-WAN 上生成 PAC 文件。

  • 不支持通过 DHCP 进行 WPAD。

应用程序和 DNS 设置