Citrix SD-WAN

应用程序分类

Citrix SD-WAN 设备使用以下技术执行深度数据包检查 (DPI) 以识别应用程序并对其进行分类:

  • 新闻部图书馆分类
  • Citrix 专有的独立计算架构 (ICA) 分类
  • 应用程序供应商 API(例如适用于 Office 365 的 Microsoft REST API)
  • 基于域名的应用程序分类

新闻部图书馆分类

深度数据包检测 (DPI) 库可识别数以千计的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。每个连接的应用程序分类需要几个数据包。

要启用 DPI 库分类,请在 配置编辑器中导航到“全局”>“应用程序”>“DPI 设置” 然后选中“启用深度数据包 检查”复选框。

ICA 分类

Citrix SD-WAN 设备还可以识别和分类虚拟应用程序和桌面的 Citrix HDX 流量。Citrix SD-WAN 识别 ICA 协议的以下变体:

  • ICA
  • CGP
  • 单流 ICA (SSI)
  • 多流 ICA (微星)
  • ICA 对技术合作协议
  • ICA over UDP/EDT
  • ICA 通过非标准端口(包括多端口 ICA)
  • HDX 自适应传输
  • ICA over WebSocket(由 HTML5 Receiver 使用)

注意

SD-WAN Standard Edition 不支持通过 SSL/TLS 或 DTLS 传送的 ICA 流量分类,但 SD-WAN Premium Edition 和 SD-WAN WANOP Edition 支持。

网络流量的分类是在初始连接或流量建立期间完成的。因此,预先存在的连接不被分类为 ICA。手动清除连接表时,连接分类也会丢失。

Framehawk 流量和 UDP/RTP 上的音频不被归类为 HDX 应用程序。它们报告为 UDP 或 未知协议。

自 10 版本 1 以来,SD-WAN 设备即使在单端口配置中,也可以区分多流 ICA 中的每个 ICA 数据流。每个 ICA 流都被分类为一个单独的应用程序,具有其自己的默认 QoS 类来进行优先级排序。

  • 要使多流 ICA 功能正常工作,您必须具有 SD-WAN Standard Edition 10.1 或更高版本或 SD-WAN Premium Edition。

  • 要在 SDWAN 中心显示基于 HDX 用户的报告,您必须具有 SD-WAN Standard Edition 或 Premium Edition 11.0 或更高版本。

HDX 信息虚拟通道的最低软件要求:

  • Citrix Virtual Apps and Desktops(以前称为 XenApp 和 XenDesktop)的当前版本,因为必备功能是在 XenApp 和 XenDesktop 7.17 中引入的,不包括在 7.15 长期服务版本中。

  • 支持多流 ICA 和 HDX 见解信息虚拟通道 CTXNSAP 的 Citrix Workspace 应用程序(或其前身,Citrix Receiver)的版本。在 Citrix Workspace 应用程序功能矩阵中查找使用 NSAP VC 和多端口/多流 ICA 的 HDX Insight。查看 HDX 见解当前支持的发行版本

一旦分类,ICA 应用程序可用于应用程序规则,并查看与其他分类应用程序类似的应用程序统计数据。

ICA 应用程序有五个默认应用程序规则,每个规则针对以下优先级标记:

  • 独立计算架构 (Citrix) (ICA)
  • ICA 实时(ICA 优先级 _0)
  • ICA 交互式 (ICA 优先级 _1)
  • ICA 批量传输 (ica_prority_2)
  • 国际合作社理事会背景 (优先级 _3)

有关详细信息,请参阅按应用程 序名称列出的

如果要通过单个端口运行不支持多流 ICA 的软件组合,则要执行 QoS,您必须为每个 ICA 流配置多个端口。要按照 XA/XD 服务器策略中配置的非标准端口对 HDX 进行分类,必须在 ICA 端口配置中添加这些端口。此外,要将这些端口上的流量与有效 IP 规则相匹配,您必须更新 ICA IP 规则。

在 ICA IP 和端口列表中,您可以指定 XA/XD 策略中使用的非标准端口来处理 HDX 分类。IP 地址用于进一步限制端口到特定目标。对于发往任何 IP 地址的端口,请使用“\ *”。IP 地址与 SSL 端口的组合也用于指示流量可能是 ICA,即使流量未最终归类为 ICA。此指示用于发送 L4 AppFlow 记录以支持 Citrix Application Delivery Management 中的多跃点报告。

要启用基于 ICA 的分类,请在配置编辑器中导航到“全局”>“应用程序”>“DPI 设置”然后选中“为 Citrix ICA 应用程序启用深层数据包检查”复选框。

应用程序供应商 API 基于分类

Citrix SD-WAN 支持以下基于应用程序供应商 API 的分类:

基于域名的应用程序分类

DPI 分类引擎得到了增强,可根据域名和模式对应用程序进行分类。DNS 转发器拦截和解析 DNS 请求后,DPI 引擎使用 IP 分类器执行第一个数据包分类。进一步的 DPI 库和 ICA 分类完成,并附加基于域名的应用程序 ID。

基于域名的应用程序功能允许您对多个域名进行分组,并将其视为单个应用程序。更轻松地应用防火墙、应用程序指导、QoS 和其他规则。最多可配置 64 个基于域名的应用程序。

要定义基于域名的应用程序,请在配置编辑器中导航到全局”>“应用程序”>“基于 域名的应用程序”。输入应用程序名称并添加所需的域名或模式。您可以在开头输入完整域名或使用通配符。允许使用以下域名格式:

  • example.com
  • *.example.com

基于域名的应用程序

基于分类域名的应用程序用于配置以下内容:

限制

  • 如果没有对应于基于域名的应用程序的 DNS 请求/响应,DPI 引擎不会对基于域名的应用程序进行分类,因此不会应用与基于域名的应用程序对应的应用程序规则。
  • 如果创建的应用程序对象使端口范围包括端口 80 和/或端口 443,具有与基于域名的应用程序相对应的特定 IP 地址匹配类型,则 DPI 引擎不会对基于域名的应用程序进行分类。
  • 如果配置了显式 Web 代理,则必须将所有域名模式添加到 PAC 文件中,以确保 DNS 响应并不总是返回相同的 IP 地址。
  • 基于域名的应用程序分类会在配置升级时重置。重分类基于 11.0.2 之前版本的分类技术,例如 DPI 库分类、ICA 分类和基于供应商应用程序 API 的分类。
  • 根据基于域名的应用程序分类获取的应用程序签名(目标 IP 地址)将在配置更新时重置。
  • 仅处理标准 DNS 查询及其响应。
  • 不支持 AAA 记录或 IPv6 记录。
  • 分割到多个数据包的 DNS 响应记录不会被处理。仅处理单个数据包中的 DNS 响应。
  • 不支持通过 TCP 进行 DNS。
  • 只支持顶级域作为域名模式。

对加密流量进行分类

Citrix SD-WAN 设备通过以下两种方法检测并报告加密流量,作为应用程序报告的一部分:

  • 对于 HTTPS 流量,DPI 引擎会检查 SSL 证书以读取公用名称,该名称包含服务的名称(例如- Facebook,Twitter)。根据应用程序体系结构,只有一个证书可用于多种服务类型(例如电子邮件、新闻等)。如果不同的服务使用不同的证书,DPI 引擎将能够区分服务。
  • 对于使用自己的加密协议的应用程序,DPI 引擎会在流中查找二进制模式,例如,在 Skype 的情况下,DPI 引擎会在证书中查找二进制模式并确定应用程序。

要配置应用程序分类设置,请执行以下操作:

  1. 配置编辑器中,单击 全局 > 应用程序 > 设置

应用程序设置

注意

如果为多端口部署添加额外的 ICA 端口,则必须将这些端口添加到 WAN 优化应用程序分类器中。否则,三个额外端口上的流量将不会转发到 wanop。如果将 ICA 配置为优化,则仅转发默认 2598 端口。

WANOP 应用程序分类器g)

  1. 选择 启用深度数据包检查。这将启用设备上的应用程序分类。您可以在 SD-WAN Center 查看和监视应用程序统计信息。有关详细信息,请参阅 应用程序报告

注意

默认情况下, 启用深度数据包检查会 收集分类数据的统计信息。

  1. 选择“启用 Citrix ICA 应用程序的深层数据包检查”。 这样可以对 Citrix ICA 应用程序进行分类,并收集用户、会话和流计数的统计信息。如果不启用此选项,可能仍会对 HDX 流量的某些风格进行分类并计算 QoE,但 SD-WAN Center 的统计数据不可用。您可以在 SD-WAN Center 查看和监视 ICA 应用程序统计信息。默认情况下启用此选项。有关详细信息,请参阅 HDX 报告

  2. 选择“启用 HDX 用户报 告”可生成新添加的基于用户的报告(HDX 摘要、HDX 用户会话和 HDX 应用程序),这些报告可在 SD-WAN 中心获得。这不适用于 HDX 站点统计 报告。此选项在全局和站点级别可用,类似于启用 DPI 选项。要在站点级别启用 HDX 用户报告,请在 配置编辑器中单击 连接 > 应用程序

启用 HDX 报告

  1. DPI ICA 端口中,指定用于处理 HDX 分类的 XA/XD 策略中的非标准端口。请勿在此列表中包含标准端口号 2598 或 1494,因为这些端口号已包含在内部。

  2. DPI ICA IP 中,指定用于进一步限制端口到特定目的地的 IP 地址。

注意

将 * 用于指定到任何 IP 地址的端口。

  1. 单击“应用”

您可以在每个站点分别配置应用程序分类设置。单击 连接,选择一个站点,然后单击 应用程序设置。您还可以选择使用全局应用程序设置。

搜索应用程序

您可以搜索应用程序以确定应用程序的家族名称。此外,还提供了应用程序的简要说明。

要搜索应用程序,请执行以下操作:

  1. 在配置编辑器中,单击 全局 > 应用程序> 搜索

  2. 在 搜索 字段中,应用程序的名称,然后单击 回车。

此时将显示应用程序和应用程序系列名称的简要描述。

应用程序搜索

以下功能使用应用程序作为匹配类型:

注意

有关 SD-WAN 设备可以使用深度数据包检测识别的应用程序的信息,请参阅应用 程序签名库

应用程序对象

通过应用程序对象,您可以将不同类型的匹配条件分组到一个可用于防火墙策略和应用程序指导的单个对象中。IP 协议、应用程序和应用程序系列是可用的匹配类型。

以下功能使用应用程序对象作为匹配类型:

要创建应用程序对象,请执行以下操作:

  1. 在配置编辑器中,单击 全局 > 应用程序 > 应用 程序对象

  2. 单击 加,然后在 名称 字段中输入对象的名称。

应用程序对象

  1. 选择“启用报告”以启用在 Citrix SD-WAN 中心中查看自定义应用程序报告。有关更多信息,请参阅 应用程序报告

  2. 在“优先级”字段中,输入应用程序对象的优先级。当传入的数据包匹配两个或多个应用程序对象定义时,将应用具有最高优先级的应用程序对象。

  3. 单击“应用程序匹配条件”部分中的+。

  4. 选择以下匹配类型之一:

  • IP 协议:指定协议、网络 IP 地址、端口号和 DSCP 标记。
  • 应用程序:指定应用程序名称、网络 IP 地址、端口号和 DSCP 标记。
  • 应用程序系列:选择应用程序系列并指定网络 IP 地址、端口号和 DSCP 标记。
  1. 单击 + 添加更多应用程序匹配条件。

  2. 单击添加

将应用程序分类与防火墙结合使用

通过将流量分类为应用程序、应用程序系列或域名,您可以使用应用程序、应用程序系列和应用程序对象作为匹配类型来筛选流量并应用防火墙策略和规则。它适用于所有 前、后 和 本地 策略。有关防火墙的详细信息,请参阅有 状态防火墙和 NAT 支持

防火墙中的应用程序分类

查看应用程序分类

启用应用程序分类后,您可以在以下报告中查看应用程序名称和应用程序系列详细信息:

  • 防火墙连接统计

  • 流量信息

  • 应用程序统计

防火墙连接统计

配置编辑器中,导航到“监视”>“防火墙”。在“连接”部分下,“应用 程序 和系 ** 列”列列出了应用程序及其关联的系列。

应用程序分类的防火墙连接

如果不启用应用程序分类,则“应用程序”族”列不会显示任何数据。

防火墙连接无应用程序分类

流量信息

配置编辑器中,导航到“监视”>“流”。在“流数据”部分下,应用程序”列列出应用程序详细信息。

流量信息

应用程序统计

配置编辑器中,导航到 监视 > 统计信息。在“应用程序统计信息”部分下,应用程序”列列出应用程序

应用程序统计

故障排除

启用应用程序分类后,您可以查看监视”部分下的报告,并确保它们显示应用程序详细信息。有关详细信息,请参阅 查看应用程序分类

如果存在任何意外行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。

STS 捆绑包可以使用“配置”>“系统维护”>“诊断信息”创建和下载