This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
应用程序分类
Citrix SD-WAN 设备使用以下技术执行深度数据包检查 (DPI) 以识别应用程序并对其进行分类:
- 新闻部图书馆分类
- Citrix 专有的独立计算架构 (ICA) 分类
- 应用程序供应商 API(例如适用于 Office 365 的 Microsoft REST API)
- 基于域名的应用程序分类
新闻部图书馆分类
深度数据包检测 (DPI) 库可识别数以千计的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。每个连接的应用程序分类需要几个数据包。
要在 Citrix SD-WAN Orchestrator 服务上启用 DPI 库分类,请参阅 DPI 库分类。
ICA 分类
Citrix SD-WAN 设备还可以识别和分类虚拟应用程序和桌面的 Citrix HDX 流量。Citrix SD-WAN 识别 ICA 协议的以下变体:
- ICA
- CGP
- 单流 ICA (SSI)
- 多流 ICA (微星)
- ICA 对技术合作协议
- ICA over UDP/EDT
- ICA 通过非标准端口(包括多端口 ICA)
- HDX 自适应传输
- ICA over WebSocket(由 HTML5 Receiver 使用)
注意
SD-WAN 标准版不支持对通过 SSL/TLS 或 DTLS 交付的 ICA 流量进行分类。
网络流量的分类是在初始连接或流量建立期间完成的。因此,预先存在的连接不被分类为 ICA。手动清除连接表时,连接分类也会丢失。
Framehawk 流量和 UDP/RTP 上的音频不被归类为 HDX 应用程序。它们报告为 UDP 或 未知协议。
自 10 版本 1 以来,SD-WAN 设备即使在单端口配置中,也可以区分多流 ICA 中的每个 ICA 数据流。每个 ICA 流都被分类为一个单独的应用程序,具有其自己的默认 QoS 类来进行优先级排序。
要使多流 ICA 功能正常运行,您必须拥有 SD-WAN 标准版 10.1 或更高版本。
要在 SDWAN-Center 上显示基于 HDX 用户的报告,您必须拥有 SD-WAN 标准版 11.0 或更高版本。
HDX 信息虚拟通道的最低软件要求:
Citrix Virtual Apps and Desktops(以前称为 XenApp 和 XenDesktop)的当前版本,因为必备功能是在 XenApp 和 XenDesktop 7.17 中引入的,不包括在 7.15 长期服务版本中。
支持多流 ICA 和 HDX 见解信息虚拟通道 CTXNSAP 的 Citrix Workspace 应用程序(或其前身,Citrix Receiver)的版本。在 Citrix Workspace 应用程序功能矩阵 中查找 具有 NSAP VC 和多端口/多流ICA 的 HDX Insight。在 HDX Insights上查看当前支持的发行版本。
从 11.2 版本起,现在默认情况下,在使用多流 ICA 时,HDX 实时流量启用数据包复制功能。
分类后,ICA 应用程序可用于应用程序规则中,并查看与其他分类应用程序类似的应用程序统计信息。
ICA 应用程序有五个默认应用程序规则,每个规则针对以下优先级标记:
- 独立计算架构 (Citrix) (ICA)
- ICA 实时(ICA 优先级 _0)
- ICA 交互式 (ICA 优先级 _1)
- ICA 批量传输 (ica_prority_2)
- 国际合作社理事会背景 (优先级 _3)
有关详 细信息,请参阅按应用程序名称排
如果要通过单个端口运行不支持多流 ICA 的软件组合,则要执行 QoS,您必须为每个 ICA 流配置多个端口。 要按照 XA/XD 服务器策略中配置的非标准端口对 HDX 进行分类,必须在 ICA 端口配置中添加这些端口。此外,要将这些端口上的流量与有效的 IP 规则相匹配,您必须更新 ICA IP 规则。
在 ICA IP 和端口列表中,您可以指定 XA/XD 策略中使用的非标准端口以进行 HDX 分类。IP 地址用于进一步限制端口到特定目的地。使用“*”表示发往任何 IP 地址的端口。IP 地址与 SSL 端口组合也用于指示流量可能是 ICA,即使流量不是最终分类为 ICA。此指示用于发送 L4 AppFlow 记录以支持 Citrix Application Delivery Management 中的多跃点报告。
要在 Citrix SD-WAN Orchestrator 服务上启用基于 ICA 的分类,请参阅 ICA 分类。
应用程序供应商 API 基于分类
Citrix SD-WAN 支持以下基于应用程序供应商 API 的分类:
-
办公室 365 有关详细信息,请参阅 Office 365 优化。
-
Citrix Cloud 和 Citrix Gateway 服务. 有关更多信息,请参阅 网关服务优化。
基于域名的应用程序分类
DPI 分类引擎得到了增强,可根据域名和模式对应用程序进行分类。DNS 转发器拦截并解析 DNS 请求后,DPI 引擎会使用 IP 分类器执行第一个数据包分类。进一步的 DPI 库和 ICA 分类完成,并附加基于域名的应用程序 ID。
基于域名的应用程序功能允许您对多个域名进行分组,并将其视为单个应用程序。更轻松地应用防火墙、应用程序指导、QoS 和其他规则。最多可配置 64 个基于域名的应用程序。
要在 Citrix SD-WAN Orchestrator 服务上定义基于 域名的应用程序,请参阅基于域名的应用程序分类。
注意
从 11.4.2 版本起,基于域名的应用程序支持 Citrix SD-WAN Orchestrator 服务中的可配置端口和协议。有关详细信息,请参阅 域和应用程序。
从 Citrix SD-WAN 11.5.0 版本开始,Citrix SD-WAN Orchestrator 服务支持 AAAA 记录 。
限制
- 如果没有对应于基于域名的应用程序的 DNS 请求/响应,DPI 引擎不会对基于域名的应用程序进行分类,因此不会应用与基于域名的应用程序对应的应用程序规则。
- 如果创建的应用程序对象使端口范围包括端口 80 和/或端口 443,具有与基于域名的应用程序相对应的特定 IP 地址匹配类型,则 DPI 引擎不会对基于域名的应用程序进行分类。
- 如果配置了显式 Web 代理,则必须将所有域名模式添加到 PAC 文件中,以确保 DNS 响应并不总是返回相同的 IP 地址。
- 基于域名的应用程序分类会在配置升级时重置。重分类基于 11.0.2 之前版本的分类技术,例如 DPI 库分类、ICA 分类和基于供应商应用程序 API 的分类。
- 根据基于域名的应用程序分类获取的应用程序签名(目标 IP 地址)将在配置更新时重置。
- 仅处理标准 DNS 查询及其响应。
- 分割到多个数据包的 DNS 响应记录不会被处理。仅处理单个数据包中的 DNS 响应。
- 不支持通过 TCP 进行 DNS。
- 只支持顶级域作为域名模式。
对加密流量进行分类
Citrix SD-WAN 设备通过以下两种方法检测并报告加密流量,作为应用程序报告的一部分:
- 对于 HTTPS 流量,DPI 引擎会检查 SSL 证书以读取公用名称,该名称包含服务的名称(例如- Facebook,Twitter)。根据应用程序体系结构,只有一个证书可用于多种服务类型(例如电子邮件、新闻等)。如果不同的服务使用不同的证书,DPI引擎将能够区分服务。
- 对于使用自己的加密协议的应用程序,DPI 引擎会在流程中查找二进制模式。例如,在 Skype 的情况下,DPI 引擎会在证书中查找二进制模式并确定应用程序。
应用程序对象
通过应用程序对象,您可以将不同类型的匹配条件分组到一个可用于防火墙策略和应用程序指导的单个对象中。IP 协议、应用程序和应用程序系列是可用的匹配类型。
以下功能使用应用程序对象作为匹配类型:
将应用程序分类与防火墙结合使用
通过将流量分类为应用程序、应用程序系列或域名,您可以使用应用程序、应用程序系列和应用程序对象作为匹配类型来筛选流量并应用防火墙策略和规则。它适用于所有 前、后 和 本地 策略。有关防火墙的详细信息,请参阅 有状态防火墙和 NAT 支持。
—>
查看应用程序分类
启用应用程序分类后,您可以在以下报告中查看应用程序名称和应用程序系列详细信息:
-
防火墙连接统计
-
流信息
-
应用程序统计
防火墙连接统计
导航到 监控 > 防火墙。在连接部分下,应用程序和系列列列出了应用程序及其关联系族。
如果未启用应用程序分类,则应用程序和系列列不显示任何数据。
流信息
导航到“监控”>“流量”。在流量数据部分下,应用程序列列出了应用程序
应用程序统计
导航到 监控 > 统计信息。在应用程序统计信息部分下,应用程序列列出了应用程序详细信息。
故障排除
启用应用程序分类后,您可以查看 监控 部分下的报告,并确保它们显示应用程序详细信息。有关详细信息,请参阅 查看应用分类。
如果存在任何意外行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。
可以使用 配置 > 系统维护 > 诊断 > 诊断信息创建和下载 STS 包。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.