服务质量
办公地点与数据中心或云之间的网络必须传输大量的应用程序和数据,包括高质量的视频或实时语音。带宽敏感的应用程序可扩展网络的功能和资源。Citrix SD-WAN 提供有保证、安全、可测量且可预测的网络服务。这是通过管理网络上的延迟、抖动、带宽和数据包丢失来实现的。
Citrix SD-WAN 解决方案包括一个复杂的应用程序服务质量 (QoS) 引擎,用于访问应用程序流量并对关键应用程序进行优先级排序。它还了解 WAN 网络质量的要求,并根据质量特征实时选择网络路径。
以下各节中的主题将讨论 QoS 类、IP 规则、应用程序 QoS 规则以及定义应用程序 QoS 所需的其他组件。
从 SD-WAN 11.5 版本开始,QoS 功能可通过 Citrix SD-WAN Orchestrator 服务进行配置。有关更多信息,请参阅 服务质量。
班级
Citrix SD-WAN 配置提供了一组默认的应用程序和基于 IP/端口的 QoS 策略,这些策略适用于通过虚拟路径传输的所有流量。这些设置可以根据部署需求进行自定义。
类对于确定流量的优先级非常有用。基于应用程序和 IP/端口的 QoS 策略对流量进行分类,并将其放入配置中指定的适当类中。
Citrix SD-WAN Orchestrator 服务支持 13 个类别。有关更多信息,请参阅 类。
以下是不同类型的类:
-
实时:用于低延迟、低带宽、时间敏感的流量。实时应用程序比较耗时,但实际上不需要高带宽 (例如 IP 语音)。实时应用程序对延迟和抖动敏感,但可以容忍一些损失。
-
交互式:用于具有低到中等延迟要求和低到中等带宽要求的交互式流量。通常情况下,在客户端与服务器之间进行交互。通信可能不需要高带宽,但对丢失和延迟非常敏感。
-
批量:用于高带宽流量和可容忍高延迟的应用程序。处理文件传输和需要高带宽的应用程序将分类为散装类。这些应用很少涉及人为干扰,主要由系统自己处理。
类之间的带宽共享
带宽在类之间共享,如下所示:
-
实时:进入实时课程的流量保证具有低延迟,并且在存在竞争流量时,带宽将限制在班级共享内。
-
互动:触及交互式课程的流量在提供实时流量后获得剩余带宽,可用带宽在互动课程之间公平分享。
-
批量:批量是最佳努力。提供实时和交互式流量后留下的带宽将以公平共享的方式分配给批量类。如果实时和交互式流量利用了所有可用带宽,则批量流量可能会饿死。
注意
在没有争用的情况下,任何课程都可以使用所有可用带宽。
以下示例说明了基于类配置的带宽分布:
假设虚拟路径上的聚合带宽为 10 Mbps。如果类配置为
- 实时:30%
- 互动高:40%
- 互动媒介:20%
- 交互式低:10%
- 批量:100%
带宽分配的结果是:
-
根据需要,实时流量可获得 10Mbps(3 Mbps)的 30%。如果需要的带宽少于 10%,则剩余的带宽将提供给其他类别。
-
互动课程在公平份额的基础上共享剩余的带宽(4 Mbps:2 Mbps:1 Mbps)。
-
当实时交互式流量没有完全使用其份额时,剩余的任何东西都会提供给 Bulk 类。
按 IP 地址和端口号进行规则
按 IP 地址和端口号的规则功能可帮助您为网络创建规则,并根据规则做出某些服务质量 (QoS) 决策。您可以为网络创建自定义规则。例如,您可以将规则创建为 — 如果源 IP 地址为 172.186.30.74 且目标 IP 地址为 172.186.10.89,则 将传输模式 设置为持久路径,将局域网至 WAN 类设置为 10 (realtime_class)”。
您可以在站点级别或全局级别本地创建规则。如果多个站点需要相同的规则,则可以在全局 > 虚拟路径默认集 > 规则下全局为规则创建模板。然后,模板可以附加到需要应用规则的站点。即使站点与全局创建的规则模板相关联,您也可以创建特定于站点的规则。在这种情况下,站点特定规则优先并覆盖全局创建的规则模板。
从 Citrix SD-WAN 11.5 版本开始,您可以使用 Citrix SD-WAN Orchestrator 服务创建 IP 规则。有关更多信息,请参阅 IP 规则。
验证规则
导航到“监控”>“流量”。选择流程页面顶部的选择流程部分中的流程类型字段。在“流程类型”字段旁边有一行复选框,用于选择要查看的流程信息。验证流信息是否符合配置的规则。
示例: 如果源 IP 地址是 172.186.30.74 且目标 IP 地址是 172.186.10.89,则将传输模式设置为永久路径规则显示以下流量数据。
导航到 监控 > 统计信息 并验证配置的规则。
按应用程序名称进行的规则
应用程序分类功能允许 Citrix SD-WAN 设备分析传入流量并将其分类为属于特定应用程序或应用程序系列。通过这种分类,我们可以通过创建和应用应用程序规则来提高单个应用程序或应用程序系列的 QoS。
您可以根据应用程序、应用程序系列或应用程序对象匹配类型过滤流量,并对它们应用应用程序规则。应用程序规则类似于 Internet 协议 (IP) 规则。有关 IP 规则的信息,请参阅 按 IP 地址和端口号划分的规则。
对于每个应用程序规则,您可以指定传输模式。以下是可用的发射模式:
- 负载平衡路径:流的应用程序流量在多个路径之间进行平衡。通过最佳路径发送流量,直到使用该路径为止。剩余的数据包将通过下一个最佳路径发送。
- 持久路径:应用程序流量将保持在同一路径上,直到路径不再可用为止。
- 重复路径:应用程序流量跨多个路径复制,从而提高可靠性。
应用程序规则与类相关联。有关类的信息,请参阅 自定义类。
默认情况下,以下五个预定义的应用程序规则可用于 Citrix ICA 应用程序:
| 规则 | 类 | 传输模式 | 重新传输丢失的数据包 | 启用数据包聚合 | 启用数据包重新同步 | 重新平衡保持时间 (毫秒) | 丢弃延迟重新分配数据包 | 下降限制 (毫秒) | 下降深度(字节) | 启用红色 | 禁用限制 (毫秒) | 禁用深度(字节) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| HDX_Priority_0 | 0 (HDX_priority_tag_0) | 负载平衡路径 | 真 | 假 | 真 | 250 | 真 | 350 | 30000 | 真 | 0 | 128000 |
| HDX_Priority_1 | 1 (HDX_priority_tag_1) | 负载平衡路径 | 真 | 假 | 真 | 250 | 真 | 350 | 30000 | 真 | 0 | 128000 |
| HDX_Priority_2 | 2 (HDX_priority_tag_2) | 负载平衡路径 | 真 | 假 | 真 | 250 | 真 | 350 | 30000 | 真 | 0 | 128000 |
| HDX_Priority_3 | 3 (HDX_priority_tag_3) | 负载平衡路径 | 真 | 假 | 真 | 250 | 真 | 350 | 30000 | 真 | 0 | 128000 |
| HDX | 11(交互式高级) | 负载平衡路径 | 真 | 假 | 真 | 250 | 真 | 350 | 30000 | 真 | 0 | 128000 |
如何应用申请规则?
在 SD-WAN 网络中,当传入的数据包到达 SD-WAN 设备时,初始数据包不会进行 DPI 分类。此时,IP 规则属性(如类、TCP 终止)将应用于数据包。DPI 分类后,应用程序规则属性(如类、传输模式)将覆盖 IP 规则属性。
与应用程序规则相比,IP 规则具有更多的属性。应用程序规则仅覆盖少数 IP 规则属性,其余的 IP 规则属性仍在数据包上处理。
例如,假设您已为使用 SMTP 协议的 Web 邮件应用程序(例如 Google Mail)指定了应用程序规则。SMTP 协议的 IP 规则集最初应用于 DPI 分类之前。解析数据包并将其分类为属于 Google Mail 应用程序后,应用为 Google Mail 应用程序指定的应用程序规则。
要使用 Citrix SD-WAN Orchestrator 创建应用程序规则,请参阅 应用程序规则。
要确认应用程序规则是否应用于流量,请导航到 监控 > 流量。
记下应用程序规则 ID,并检查类类型和传输模式是否符合您的规则配置。
您可以通过导航到监视 >统计信息 > 应用程序 QoS 来监视应用程序 QoS,例如在每个站点上没有上载、下载或丢弃的数据包/字节。
Num 参数指示应用程序规则 ID。检查从流中获取的应用程序规则 ID。
创建自定义应用程序
您可以使用应用程序对象基于以下匹配类型定义自定义应用程序:
- IP 协议
- 应用程序名称
- 应用程序系列
DPI 分类器分析传入的数据包,并根据指定的匹配条件将其分类为应用程序。您可以在 QoS、防火墙和应用程序路由中使用这些分类的自定义应用程序。
提示
您可以指定一个或多个匹配类型。
应用程序分类
Citrix SD-WAN 设备使用以下技术执行深度数据包检查 (DPI) 以识别应用程序并对其进行分类:
- 新闻部图书馆分类
- Citrix 专有的独立计算架构 (ICA) 分类
- 应用程序供应商 API(例如适用于 Office 365 的 Microsoft REST API)
- 基于域名的应用程序分类
新闻部图书馆分类
深度数据包检测 (DPI) 库可识别数以千计的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。每个连接的应用程序分类需要几个数据包。
要在 Citrix SD-WAN Orchestrator 服务上启用 DPI 库分类,请参阅 DPI 库分类。
ICA 分类
Citrix SD-WAN 设备还可以识别和分类虚拟应用程序和桌面的 Citrix HDX 流量。Citrix SD-WAN 识别 ICA 协议的以下变体:
- ICA
- CGP
- 单流 ICA (SSI)
- 多流 ICA (微星)
- ICA 对技术合作协议
- ICA over UDP/EDT
- ICA 通过非标准端口(包括多端口 ICA)
- HDX 自适应传输
- ICA over WebSocket(由 HTML5 Receiver 使用)
注意
SD-WAN 标准版不支持对通过 SSL/TLS 或 DTLS 交付的 ICA 流量进行分类。
网络流量的分类是在初始连接或流量建立期间完成的。因此,预先存在的连接不被分类为 ICA。手动清除连接表时,连接分类也会丢失。
Framehawk 流量和 UDP/RTP 上的音频不被归类为 HDX 应用程序。它们报告为 UDP 或 未知协议。
自 10 版本 1 以来,SD-WAN 设备即使在单端口配置中,也可以区分多流 ICA 中的每个 ICA 数据流。每个 ICA 流都被分类为一个单独的应用程序,具有其自己的默认 QoS 类来进行优先级排序。
要使多流 ICA 功能正常运行,您必须拥有 SD-WAN 标准版 10.1 或更高版本。
要在 SDWAN-Center 上显示基于 HDX 用户的报告,您必须拥有 SD-WAN 标准版 11.0 或更高版本。
HDX 信息虚拟通道的最低软件要求:
Citrix Virtual Apps and Desktops(以前称为 XenApp 和 XenDesktop)的当前版本,因为必备功能是在 XenApp 和 XenDesktop 7.17 中引入的,不包括在 7.15 长期服务版本中。
支持多流 ICA 和 HDX 见解信息虚拟通道 CTXNSAP 的 Citrix Workspace 应用程序(或其前身,Citrix Receiver)的版本。在 Citrix Workspace 应用程序功能矩阵 中查找 具有 NSAP VC 和多端口/多流ICA 的 HDX Insight。在 HDX Insights上查看当前支持的发行版本。
从 11.2 版本起,现在默认情况下,在使用多流 ICA 时,HDX 实时流量启用数据包复制功能。
分类后,ICA 应用程序可用于应用程序规则中,并查看与其他分类应用程序类似的应用程序统计信息。
ICA 应用程序有五个默认应用程序规则,每个规则针对以下优先级标记:
- 独立计算架构 (Citrix) (ICA)
- ICA 实时(ICA 优先级 _0)
- ICA 交互式 (ICA 优先级 _1)
- ICA 批量传输 (ica_prority_2)
- 国际合作社理事会背景 (优先级 _3)
有关详 细信息,请参阅按应用程序名称排
如果要通过单个端口运行不支持多流 ICA 的软件组合,则要执行 QoS,您必须为每个 ICA 流配置多个端口。 要按照 XA/XD 服务器策略中配置的非标准端口对 HDX 进行分类,必须在 ICA 端口配置中添加这些端口。此外,要将这些端口上的流量与有效的 IP 规则相匹配,您必须更新 ICA IP 规则。
在 ICA IP 和端口列表中,您可以指定 XA/XD 策略中使用的非标准端口以进行 HDX 分类。IP 地址用于进一步限制端口到特定目的地。使用“*”表示发往任何 IP 地址的端口。IP 地址与 SSL 端口组合也用于指示流量可能是 ICA,即使流量不是最终分类为 ICA。此指示用于发送 L4 AppFlow 记录以支持 Citrix Application Delivery Management 中的多跃点报告。
要在 Citrix SD-WAN Orchestrator 服务上启用基于 ICA 的分类,请参阅 ICA 分类。
应用程序供应商 API 基于分类
Citrix SD-WAN 支持以下基于应用程序供应商 API 的分类:
-
办公室 365 有关详细信息,请参阅 Office 365 优化。
-
Citrix Cloud 和 Citrix Gateway 服务. 有关更多信息,请参阅 网关服务优化。
基于域名的应用程序分类
DPI 分类引擎得到了增强,可根据域名和模式对应用程序进行分类。DNS 转发器拦截并解析 DNS 请求后,DPI 引擎会使用 IP 分类器执行第一个数据包分类。进一步的 DPI 库和 ICA 分类完成,并附加基于域名的应用程序 ID。
基于域名的应用程序功能允许您对多个域名进行分组,并将其视为单个应用程序。更轻松地应用防火墙、应用程序指导、QoS 和其他规则。最多可配置 64 个基于域名的应用程序。
要在 Citrix SD-WAN Orchestrator 服务上定义基于 域名的应用程序,请参阅基于域名的应用程序分类。
注意
从 11.4.2 版本起,基于域名的应用程序支持 Citrix SD-WAN Orchestrator 服务中的可配置端口和协议。有关详细信息,请参阅 域和应用程序。
从 Citrix SD-WAN 11.5.0 版本开始,Citrix SD-WAN Orchestrator 服务支持 AAAA 记录 。
限制
- 如果没有对应于基于域名的应用程序的 DNS 请求/响应,DPI 引擎不会对基于域名的应用程序进行分类,因此不会应用与基于域名的应用程序对应的应用程序规则。
- 如果创建的应用程序对象使端口范围包括端口 80 和/或端口 443,具有与基于域名的应用程序相对应的特定 IP 地址匹配类型,则 DPI 引擎不会对基于域名的应用程序进行分类。
- 如果配置了显式 Web 代理,则必须将所有域名模式添加到 PAC 文件中,以确保 DNS 响应并不总是返回相同的 IP 地址。
- 基于域名的应用程序分类会在配置升级时重置。重分类基于 11.0.2 之前版本的分类技术,例如 DPI 库分类、ICA 分类和基于供应商应用程序 API 的分类。
- 根据基于域名的应用程序分类获取的应用程序签名(目标 IP 地址)将在配置更新时重置。
- 仅处理标准 DNS 查询及其响应。
- 分割到多个数据包的 DNS 响应记录不会被处理。仅处理单个数据包中的 DNS 响应。
- 不支持通过 TCP 进行 DNS。
- 只支持顶级域作为域名模式。
对加密流量进行分类
Citrix SD-WAN 设备通过以下两种方法检测并报告加密流量,作为应用程序报告的一部分:
- 对于 HTTPS 流量,DPI 引擎会检查 SSL 证书以读取公用名称,该名称包含服务的名称(例如- Facebook,Twitter)。根据应用程序体系结构,只有一个证书可用于多种服务类型(例如电子邮件、新闻等)。如果不同的服务使用不同的证书,DPI引擎将能够区分服务。
- 对于使用自己的加密协议的应用程序,DPI 引擎会在流程中查找二进制模式。例如,在 Skype 的情况下,DPI 引擎会在证书中查找二进制模式并确定应用程序。
应用程序对象
通过应用程序对象,您可以将不同类型的匹配条件分组到一个可用于防火墙策略和应用程序指导的单个对象中。IP 协议、应用程序和应用程序系列是可用的匹配类型。
以下功能使用应用程序对象作为匹配类型:
将应用程序分类与防火墙结合使用
通过将流量分类为应用程序、应用程序系列或域名,您可以使用应用程序、应用程序系列和应用程序对象作为匹配类型来筛选流量并应用防火墙策略和规则。它适用于所有 前、后 和 本地 策略。有关防火墙的详细信息,请参阅 有状态防火墙和 NAT 支持。
—>
查看应用程序分类
启用应用程序分类后,您可以在以下报告中查看应用程序名称和应用程序系列详细信息:
-
防火墙连接统计
-
流信息
-
应用程序统计
防火墙连接统计
导航到 监控 > 防火墙。在连接部分下,应用程序和系列列列出了应用程序及其关联系族。
如果未启用应用程序分类,则应用程序和系列列不显示任何数据。
流信息
导航到“监控”>“流量”。在流量数据部分下,应用程序列列出了应用程序
应用程序统计
导航到 监控 > 统计信息。在应用程序统计信息部分下,应用程序列列出了应用程序详细信息。
故障排除
启用应用程序分类后,您可以查看 监控 部分下的报告,并确保它们显示应用程序详细信息。有关详细信息,请参阅 查看应用分类。
如果存在任何意外行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。
可以使用 配置 > 系统维护 > 诊断 > 诊断信息创建和下载 STS 包。
QoS 公平性 (红色)
QoS 公平性功能通过使用 QoS 类 和随机早期检测 (RED) 提高了多个虚拟路径流的公平性。虚拟路径可以分配给 16 个不同的类中的一个。一个类可以是以下三种基本类型之一:
- 实时类服务的流量流量需要在特定带宽限制下提供及时服务。低延迟优先于总吞吐量。
- 交互式类的优先级低于实时,但优先于批量流量。
- 批量类获取实时和交互式类遗留的内容,因为延迟对于批量流量来说不太重要。
用户为不同的类指定不同的带宽要求,这使虚拟路径调度程序能够仲裁来自同一类型的多个类的竞争带宽请求。调度程序使用分层公平服务曲线 (HFSC) 算法来实现各类之间的公平性。
HFSC 按先进先出 (FIFO) 顺序提供服务。在计划数据包之前,Citrix SD-WAN 会检查数据包类的待处理流量。当过多的流量处于挂起状态时,数据包将被丢弃,而不是被放入队列(尾部丢弃)。
为什么 TCP 会导致排队?
TCP 无法控制网络传输数据的速度。为了控制带宽,TCP 实现了带宽窗口的概念,即它允许在网络中的未确认流量。它最初以一个小窗口开始,每当收到确认时,它将该窗口的大小加倍。这被称为缓慢启动或指数增长阶段。
TCP 通过检测丢弃的数据包来识别网络拥堵。如果 TCP 堆栈发送导致 250 ms 延迟的数据包突发,TCP 不会检测拥塞,如果没有丢弃任何数据包,因此它会继续增加窗口的大小。它可能会继续这样做,直到等待时间达到 600—800 毫秒。
当 TCP 不处于慢速启动模式时,它会在检测到数据包丢失时减少一半带宽,并为每次接收的确认增加一个数据包允许带宽。因此,TCP 在对带宽施加上升压力和退出之间交替。不幸的是,如果等待时间在检测到数据包丢失时达到 800 ms,带宽降低会导致传输延迟。
对 QoS 公平性的影响
当发生 TCP 传输延迟时,在虚拟路径类中提供任何类型的公平性保证都是困难的。虚拟路径调度程序必须应用尾放 行为,以避免持有大量流量。TCP 连接的性质是, 少量流量流动到虚拟路径,这使得新的 TCP 连接难以获得公平的带宽份额。公平共享带宽需要确保带宽可用于传输新数据包。
随机早期检测
随机早期检测 (RED) 可防止流量队列填满并导致尾部掉落操作。它可以防止虚拟路径调度程序不必要地排队,而不会影响 TCP 连接可以实现的吞吐量。
有关如何使用和启用 RED 的信息,请参阅 如何使用 RED。
MPLS 队列
此功能在添加多协议层切换 (MPLS) WAN 链接时简化了创建 SD-WAN 配置的过程。以前,每个 MPLS 队列都需要创建一个 WAN 链接。每个 WAN 链接都需要一个唯一的虚拟 IP 地址 (VIP) 来创建 WAN 链接和一个与提供商的队列方案对应的唯一差异化服务代码点 (DSCP) 标签。为每个 MPLS 队列定义 WAN 链接后,定义映射到特定队列的 Intranet 服务。
目前,新的 MPLS 特定 WAN 链接定义(即访问类型)可用。选择新的专用 MPLS 访问类型后,您可以定义与 WAN 链路关联的 MPLS 队列。这允许一个具有多个 DSCP 标签的单个 VIP,这些标签对应于 MPLS WAN 链接的提供程序的队列实现。这将内联网服务映射到单个 MPLS WAN 链接上的多个 MPLS 队列。有关如何使用 Citrix SD-WAN Orchestrator 服务配置 MPLS 的信息,请参阅 MPLS 队列。
注意
如果您具有现有 MPLS 配置,并希望实施专用 MPLS 访问类型,请与 Citrix 支持部门联系以获得帮助。
将自动解决组分配给虚拟路径 WAN 链路
为 MCN 和客户端设备定义的自动传输组相同。这允许系统自动构建路径。在 MCN 站点,您还可以展开与虚拟路径关联的 WAN 链接。
查看 WAN 链接允许的速率和拥堵
SD-WAN Web 界面现在允许您查看 WAN 链路和 WAN 链路使用的允许速率,以及 WAN 链路、路径或虚拟路径是否处于拥塞状态。在以前的版本中,此信息仅在 SD-WAN 日志文件中以及通过 CLI 提供。这些选项现在可在 Web 界面中使用,以帮助进行故障排除。
查看允许的费率
允许速率是指特定 WAN 链接、虚拟路径服务、Intranet 服务或 Internet 服务在给定时间点允许使用的带宽量。WAN 链接的允许速率是静态的,并且在 SD-WAN 配置中明确定义。虚拟路径服务、Intranet 服务或 Internet 服务的允许费率将随着时间的推移而波动,以响应拥堵、用户需求和公平分享,但始终大于或等于该服务的最低预留带宽。
监视广域网链接
转到 监控 > 统计信息,然后从 显示 下拉列表中选择 WAN 链接 。
转到 监控 > 统计信息,然后从 显示 下拉列表中选择 WAN 链接使用情况 。
监视 MPLS 队列
转到 监控 > 统计信息,然后从 显示 下拉列表中选择 MPLS 队 列。
对 MPLS 队列进行故障排除
要检查 MPLS 队列的状态,请导航到 监控 > 统计信息 ,然后从 显示 下拉列表中选择 路径(摘要) 。在以下示例中,从 MPLS 队列“q1”到“q3”的路径处于“死亡”状态,并以红色显示。从 MPLS 队列“q1”到“q5”的路径处于“良好”状态并显示为绿色。
有关路径的详细信息,请从 显示 下拉列表中选择 路径(详细信息) 。有关路径的信息,例如状态的原因、持续时间、源端口、目的端口、MTU
在下面的示例中,从 MPLS 队列“q1”到“q3”的路径处于死亡状态,原因是 PEER。从 MPLS 队列“q3”到“q1”的路径已死,原因是沉默。下表提供了列表(如果可用的原因)及其说明。
| 原因 | 说明 |
|---|---|
| 网关 | 由于设备无法访问或检测到网关,因此路径已死 |
| 无提示 | 路径为坏或死,因为设备尚未收到来自对等站点的数据包 |
| 损失 | 由于数据包丢失,路径不正确 |
| 同行 | 对等网站报告路径是坏的 |
要检查与 MPLS 队列关联的访问接口和 IP 地址,请从 显示 下拉列表中选择 访问接口 。
您可以下载日志文件进行进一步故障排除。导航到配置 > 日志/监视,然后从日志选项选项卡中选择 SDWAN_paths.log 或 SDWAN_common.log。
