Citrix SD-WAN Orchestrator für On-Premises 14.4

Anwendungseinstellungen und Gruppen

In diesem Abschnitt können Benutzer Anwendungen individuell definieren, Anwendungen für die Verwendung in Richtlinien, QoS-Profilen und DNS-Einstellungen gruppieren.

Sie können eine Anwendungsgruppe sowohl für vordefinierte als auch für benutzerdefinierte Anwendungen definieren. Eine Anwendungsgruppe enthält Anwendungen, die bei der Definition einer Sicherheitsrichtlinie ähnlich behandelt werden müssen.

Sie können die Anwendungsgruppen häufig wiederverwenden, wenn Sie Richtlinien wie Anwendungssteuerung oder Firewallregeln definieren. Es entfällt die Notwendigkeit, mehrere Einträge für jede einzelne Anwendung zu erstellen. In ähnlicher Weise unterstützt Application Groups bei der Verwendung von Anwendungsdiensten gängige Anwendungen mit einem eindeutigen Namen für eine vereinfachte und konsistente Wiederverwendung.

Um Anwendungsgruppenanzuzeigen, navigieren Sie zu Konfiguration > App-Einstellungen und Gruppen.

Domänen und Anwendungen

Sie können interne Anwendungen basierend auf Domänennamen erstellen, die nicht in der Liste der veröffentlichten Anwendungen auf der Seite Domains & Apps verfügbar sind. Um Anwendungen basierend auf dem Domänennamen zu erstellen, navigieren Sie auf Netzwerkebene zur Registerkarte App-Einstellungen und -Gruppen > Domänen und Apps > Domänennamenbasierte Apps, und klicken Sie auf Neue domänennamenbasierte Anwendung. Geben Sie den Anwendungsnamen ein und fügen Sie die Domänennamen oder Muster hinzu. Sie können entweder den vollständigen Domainnamen eingeben oder am Anfang Wildcards verwenden.

Domänen

Alle auf Domänennamen basierenden Anwendungen sind in Anwendungsrouting, Anwendungsregelnund Firewall-Richtliniensichtbar.

Ab Version Citrix SD-WAN 11.4.2 wird die Option Ports konfigurieren unter Domänennamenbasierte Anwendungenverfügbar gemacht. Wenn das Kontrollkästchen Ports konfigurieren aktiviert ist, bietet es die Flexibilität, eine Gruppe von mehreren Ports, Portbereichen und einem Protokoll (TCP/UDP/Any) für die domänenbasierte Anwendung zu konfigurieren.

Zuvor wurden die Ports 80 und 443sowie das Protokoll Any für Domänen unterstützt, die unter einer Anwendung gruppiert waren. Sie können dasselbe Verhalten sehen, wenn das Kontrollkästchen Ports konfigurieren deaktiviert ist. Das Kontrollkästchen Ports konfigurieren ist standardmäßig deaktiviert.

Wenn Sie das Kontrollkästchen Port konfigurieren aktivieren, können Sie jeden Port oder Portbereich bearbeiten, hinzufügen oder löschen, zusammen mit der Protokollauswahl als TCP, UDP oder Beliebig. Standardmäßig ist der Protokollwert auf Any festgelegt und die Ports sind auf 80 und 443festgelegt.

DPI-Apps

Sie können die Liste der vordefinierten Anwendungen auch auf der Registerkarte Vorklassifizierte Apps anzeigen. Sie können mit der Suchleiste nach einer bestimmten Anwendung suchen oder die Liste anhand der Anwendungsfamilie filtern.

DPI-Apps

Benutzerdefinierte Anwendung

Die benutzerdefinierten Anwendungen werden verwendet, um interne Anwendungen oder IP-Port-Kombinationen zu erstellen, die in der Liste der veröffentlichten Anwendungen nicht verfügbar sind. Der Administrator muss eine benutzerdefinierte Anwendung definieren, die auf dem IP-Protokoll basiert und bei Bedarf in mehreren Richtlinien verwendet werden kann, ohne jedes Mal auf die Informationen zur IP-Adresse und Portnummer zu verweisen.

Um eine benutzerdefinierte Anwendung zu erstellen, navigieren Sie auf Netzwerkebene zu App-Einstellungen & Gruppen > Benutzerdefinierte Apps, klicken Sie auf + Benutzerdefinierte Anwendung und geben Sie einen Namen für die benutzerdefinierte Anwendung ein. Geben Sie die Übereinstimmungskriterien wie IP-Protokoll, Netzwerk-IP-Adresse, Portnummer und DSCP-Tag an. Der Datenfluss, der diesen Kriterien entspricht, wird als benutzerdefinierte Anwendung gruppiert.

Anwendung DNS

Nach dem Speichern werden die benutzerdefinierten Anwendungen in einer Liste angezeigt und können nach Bedarf bearbeitet oder gelöscht werden.

Das Kontrollkästchen Reporting aktivieren wurde für die auf dem IP-Protokoll basierenden benutzerdefinierten Anwendungen und Anwendungsgruppen hinzugefügt. Sie müssen das Kontrollkästchen Reporting aktivieren aktivieren aktivieren und die Berichtspriorität angeben.

Wenn das Kontrollkästchen Reporting aktivieren aktiviert ist, können Sie den benutzerdefinierten IP-Anwendungsdatenverkehr unter Berichte > Verwendunganzeigen.

Berichtspriorität ist die Reihenfolge, in der auf IP-Protokollen basierende benutzerdefinierte Anwendungen oder Anwendungsgruppen für das Reporting ausgewählt werden. Es ist hilfreich, die benutzerdefinierte Anwendung oder Anwendungsgruppe mit hoher Priorität für die Berichterstattung auszuwählen, wenn mehrere Übereinstimmungen mit aktivierter Berichterstellung vorliegen. Wenn beispielsweise die Berichtspriorität einer benutzerdefinierten Anwendung auf 1 festgelegt ist, bedeutet dies, dass die benutzerdefinierte Anwendung beim Reporting die höchste Priorität erhält. Wenn die Berichtspriorität auf 100 festgelegt ist, hat die benutzerdefinierte Anwendung bei der Berichterstattung einen viel geringeren Vorrang.

Verwendung benutzerdefinierter Anwendungen

Hinweis

  • Damit Sie eine auf Domänennamen basierende Anwendung verwenden können, müssen Apps & Domänen beim Erstellen der Anwendungsroute, der QoS-Richtlinie und der Firewall-Richtlinie als Übereinstimmungskriterien aufgeführt werden.
  • Damit Sie eine benutzerdefinierte Anwendung verwenden können, muss die benutzerdefinierte Anwendung beim Erstellen der Anwendungsroute, der QoS-Richtlinie und der Firewall-Richtlinie als Übereinstimmungskriterien aufgeführt werden.

Nachdem Sie die benutzerdefinierte Anwendung erstellt haben, navigieren Sie zum Ausführen des Anwendungsroutings zu Routing > Routing-Richtlinien > + Anwendungsrouteund wählen Sie Benutzerdefinierte Anwendung aus der Dropdown-Liste Übereinstimmungstyp aus. In ähnlicher Weise wählen Sie für die auf Domänennamen basierende Anwendung Apps & Domains aus der Dropdown-Liste Übereinstimmungstyp aus.

Benutzerdefinierte Anwendung für das Routing von Anwendungen

Sie können auch eine auf Domänennamen basierende Anwendung unter den Übereinstimmungskriterien auswählen, während Sie eine benutzerdefinierte IP-Protokollanwendung erstellen.

Benutzerdefinierte Anwendung des IP-Protokolls

Um die benutzerdefinierte Anwendung unter den Firewall-Richtlinienanzuzeigen, navigieren Sie zu Sicherheit > Firewall-Richtlinien. Die Anwendung kann für jede Art von Richtlinie verwendet werden (globale Überschreibung/Site-spezifische oder globale Richtlinien). Klicken Sie auf Neue Regel erstellen und wählen Sie unter Übereinstimmungskriterienin der Dropdown-Liste Übereinstimmungstyp die Option Benutzerdefinierte Um die auf dem Domänennamen basierende Anwendung anzuzeigen, wählen Sie Apps & Domains aus der Dropdown-Liste Übereinstimmungstyp aus.

Benutzerdefinierte Anwendung mit Firewall-Profil

Sie können die auf Domänennamen basierenden benutzerdefinierten Anwendungen sowohl unter Globale als auch unter Standort-/Gruppenspezifische Regelanzeigen. Um die auf Domänennamen basierenden Anwendungen anzuzeigen, navigieren Sie zu QoS > QoS-Richtlinien > Globale Regeln > Anwendungsregel > + Anwendungsregel, und wählen Sie die gewünschte domänennamenbasierte Anwendung aus der Dropdown-Liste Apps & Domänen aus. Um benutzerdefinierte Anwendungen anzuzeigen, navigieren Sie zu QoS > QoS-Richtlinien > Globale Regeln > Regeln für benutzerdefinierte Anwendungen > + Benutzerdefinierte Anwendungsregel, und wählen Sie die gewünschte benutzerdefinierte Anwendung aus der Dropdown-Liste Benutzerdefinierte Anwendung aus.

Benutzerdefinierte Anwendung für Anwendungsregeln

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Anwendungsgruppen

Mit einer Anwendungsgruppe können Administratoren ähnliche Anwendungen für die Verwendung in gemeinsamen Richtlinien gruppieren, ohne dass sie für jede einzelne Anwendung eine Richtlinie erstellen müssen.

Apps-Gruppe

Sie können eine Anwendungsgruppe erstellen, indem Sie die Option Anwendungsgruppen hinzufügen verwenden. Sie können dieselbe Anwendungsgruppe beim Erstellen einer Richtlinie gemäß der Anwendungsrolle referenzieren. Die Richtlinie, die für die jeweilige Gruppe definiert ist, wird auf jede Anwendung angewendet, die der spezifischen Kategorie entspricht.

Sie können beispielsweise eine Anwendungsgruppe als soziales Netzwerk erstellen und der Gruppe soziale Netzwerke wie Facebook, LinkedIn und Twitter hinzufügen, um bestimmte Richtlinien für Anwendungen in sozialen Netzwerken zu definieren.

Um eine Anwendungsgruppezu erstellen, geben Sie einen Gruppennamen an, suchen und fügen Sie Apps aus der Anwendungsliste hinzu. Sie können jederzeit zurückgehen und Ihre Einstellungen bearbeiten oder die Anwendungsgruppe nach Bedarf löschen.

Anwendungsgruppe

Klicken Sie auf der SeiteKonfiguration>App-Einstellungen und Gruppen > App-Gruppen** auf Konfiguration überprüfen, um alle Überwachungsfehler zu überprüfen.**

Anwendungsgruppe

Profile für Anwendungsqualität

In diesem Abschnitt können Sie Profile für die Anwendungsqualität anzeigen und erstellen.

App-Qualitätsprofil

Anwendung QoE ist ein Maß für die Qualität der Erfahrung von Anwendungen im SD-WAN-Netzwerk. Es misst die Qualität von Anwendungen, die durch die virtuellen Pfade zwischen zwei SD-WAN-Appliances fließen.

Der QoE-Wert der Anwendung ist ein Wert zwischen 0 und 10. Der Wertungsbereich, in den er fällt, bestimmt die Qualität einer Anwendung.

Qualität Reichweite
Gut 8–10
Fair 4–8
Schlecht 0–4

Der QoE-Wert für Anwendungen kann verwendet werden, um die Qualität von Anwendungen zu messen und problematische Trends zu erkennen.

Konfiguration des Profils

Klicken Sie auf + QoE-Profil, um ein QoE-Profil zu erstellen, geben Sie einen Profilnamen an und wählen Sie einen Verkehrstyp aus der Dropdown-Liste aus.

QoE-Profil

Konfiguration in Echtzeit

Sie können die Qualitätsschwellenwerte für Echtzeit- und interaktive Appliances mithilfe von QoE-Profilen definieren und diese Profile Anwendungen oder Anwendungsobjekten zuordnen.

Die Application QoE-Berechnung für Echtzeitanwendungen verwendet eine innovative Citrix Technik, die aus dem MOS-Score abgeleitet wird.

Die Standardschwellenwerte sind:

  • Latenzschwelle (ms): 160
  • Jitter-Schwellenwert (ms): 30
  • Schwellenwert für Paketverlust (%): 2

Ein Fluss einer Echtzeitanwendung, der die Schwellenwerte für Latenz, Verlust und Jitter erfüllt, wird als von guter Qualität angesehen.

QoE für Echtzeitanwendungen wird aus dem Prozentsatz der Flüsse, die den Schwellenwert erreichen, geteilt durch die Gesamtzahl der Flussproben bestimmt.

QoE für Echtzeit = (Anzahl der Flussproben, die den Schwellenwert erreichen/Gesamtzahl der Durchflussproben) * 100

Es wird als QoE-Score von 0 bis 10 dargestellt.

Interaktive Konfiguration

Die Application QoE für interaktive Anwendungen verwendet eine innovative Citrix Technik, die auf Paketverlust und Burst-Rate-Schwellenwerten basiert.

Interaktive Anwendungen reagieren empfindlich auf Paketverlust und -durchsatz. Daher messen wir den Prozentsatz des Paketverlusts und die Burst-Rate des Ein- und Ausstiegsverkehrs in einem Flow.

Die konfigurierbaren Schwellenwerte sind:

  • Prozentsatz des Paketverlusts.
  • Prozentsatz der erwarteten Austritt Burst Rate im Vergleich zur Ingress Burst Rate.

Die Standardschwellenwerte sind:

  • Schwellenwert für Paketverlust: 1%
  • Burst-Rate: 60%

Ein Fluss ist von guter Qualität, wenn die folgenden Bedingungen erfüllt sind:

  • Der prozentuale Verlust für einen Fluss liegt unter dem konfigurierten Schwellenwert.

  • Die ausgehende Burstrate entspricht mindestens dem konfigurierten Prozentsatz der eingehenden Burstrate.

Konfiguration der Anwendungsqualität

Ordnen Sie Anwendungs- oder Anwendungsobjekte Standard-oder benutzerdefinierten QoE-Profilen Sie können benutzerdefinierte QoE-Profile für Echtzeit- und interaktiven Datenverkehr erstellen.

Klicken Sie +QoE-Konfiguration, um benutzerdefinierte QoE-Profile zu erstellen:

  • Typ: Wählen Sie die DPI-Anwendung oder ein Anwendungsobjekt aus (Anwendung, Benutzerdefinierte Apps und Anwendungsgruppen).
  • Anwendung: Suchen und wählen Sie eine Anwendung oder ein Anwendungsobjekt basierend auf dem ausgewählten Typ aus.
  • QoE-Profil: Wählen Sie ein QoE-Profil aus, das der Anwendung oder dem Anwendungsobjekt zugewiesen werden soll.

Konfiguration der App-Qualität

Klicken Sie auf Fertig.

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Sobald Sie die QoE der Anwendung mit dem benutzerdefinierten Anwendungstyp konfiguriert haben, wird unter Berichte > Anwendungsqualität automatisch eine entsprechende Anwendungsberichtskachelgeneriert. Jeglicher Datenverkehr, der mit der ausgewählten Anwendung übereinstimmt, wird über den virtuellen Pfad für die benutzerdefinierte Anwendung geleitet.

Bericht zur App-Qualität für benutzerdefinierte Anwendungen

So funktioniert die Anpassung von PAC-Dateien

Idealerweise werden die PAC-Datei des Unternehmensnetzwerks Host auf dem internen Webserver, diese Proxyeinstellungen über Gruppenrichtlinien verteilt. Der Client-Browser fordert vom Unternehmens-Webserver nach PAC-Dateien. Die Citrix SD-WAN Appliance stellt die benutzerdefinierten PAC-Dateien für Sites bereit, auf denen Office 365-Breakout aktiviert ist.

Anpassung der PAC-Datei

  1. Citrix SD-WAN fordert regelmäßig die neueste Kopie der Enterprise-PAC-Datei vom Unternehmens-Webserver an und ruft sie ab. Die Citrix SD-WAN-Appliance patcht Office 365-URLs an die PAC-Datei des Unternehmens. Es wird erwartet, dass die Unternehmens-PAC-Datei einen Platzhalter (SD-WAN-spezifisches Tag) enthält, in dem die Office 365-URLs nahtlos gepatcht werden.

  2. Der Client-Browser wirft eine DNS-Anfrage für den Unternehmens-PAC-Dateihost aus. Citrix SD-WAN fängt die Anforderung für die Proxy-Konfigurationsdatei FQDN ab und antwortet mit dem Citrix SD-WAN VIP.

  3. Der Client-Browser fordert die PAC-Datei an. Die Citrix SD-WAN Appliance stellt die gepatchte PAC-Datei lokal bereit. Die PAC-Datei enthält die Unternehmensproxy-Konfiguration und Office 365-URL-Ausschlussrichtlinien.

  4. Nach Erhalt einer Anfrage für die Office 365-Anwendung führt die Citrix SD-WAN Appliance ein direktes Internetbreakout durch.

Voraussetzungen

  1. Die Unternehmen müssen eine PAC-Datei gehostet haben.

  2. Die PAC-Datei muss einen Platzhalter SDWAN_TAG oder ein Vorkommen der findproxyforurl Funktion zum Patchen von Office 365-URLs haben.

  3. Die URL der PAC-Datei muss domänenbasiert und nicht IP-basiert sein.

  4. Die PAC-Datei wird nur über die vertrauenswürdigen Identitäts-VIPs bereitgestellt.

  5. Die Citrix SD-WAN Appliance muss in der Lage sein, die Unternehmens-PAC-Datei über ihre Verwaltungsschnittstelle herunterzuladen.

Konfigurieren der automatischen Proxy-Konfiguration

Navigieren Sie in der SD-WAN Orchestator-Benutzeroberfläche auf Netzwerkebene zu Konfiguration > App-Einstellungen und Gruppen > Automatische Proxy-Konfiguration und klicken Sie auf + PAC-Dateiprofil.

Autokonfiguration des Prox

Geben Sie einen Namen für das PAC-Dateiprofil ein und geben Sie die URL des PAC-Dateiservers des Unternehmens an. Die Office 365-Breakoutregeln werden dynamisch in die Enterprise-PAC-Datei gepatcht.

Wählen Sie die Sites aus, auf die das PAC-Dateiprofil angewendet wird. Wenn für jede Site unterschiedliche URLs vorhanden sind, erstellen Sie pro Site ein anderes Profil.

Einschränkungen

  • HTTPS PAC-Dateiserver-Anfragen werden nicht unterstützt.

  • Mehrere PAC-Dateien in einem Netzwerk werden nicht unterstützt, einschließlich PAC-Dateien für Routingdomänen oder Sicherheitszonen.

  • Das Erzeugen einer PAC-Datei auf Citrix SD-WAN von Grund auf wird nicht unterstützt.

  • WPAD über DHCP wird nicht unterstützt.

DPI-Einstellungen

Die Citrix SD-WAN Appliances führen Deep Packet Inspection (DPI) durch, um Anwendungen zu identifizieren und zu klassifizieren. Die DPI-Bibliothek erkennt Tausende von kommerziellen Anwendungen. Es ermöglicht die Erkennung und Klassifizierung von Anwendungen in Echtzeit. Mithilfe der DPI-Technologie analysiert die SD-WAN-Appliance die eingehenden Pakete und klassifiziert den Datenverkehr als zu einer bestimmten Anwendung oder Anwendungsfamilie.

DPI ist standardmäßig global für alle Sites in Ihrem Netzwerk aktiviert. Die Deaktivierung von DPI stoppt die DPI-Klassifizierungsfunktion auf der Appliance. Sie können keine DPI-klassifizierten Anwendungs-/Anwendungskategorien mehr verwenden, um Firewall-, QoS- und Routing-Richtlinien zu konfigurieren. Sie können auch den Bericht über die wichtigsten Anwendungen und Anwendungskategorien nicht anzeigen.

Um globale DPI-Werte zu deaktivieren, navigieren Sie auf Netzwerkebene zu Konfiguration > App-Einstellungen & Gruppen > DPI-Einstellungen und deaktivieren Sie das Kontrollkästchen Globale DPI aktivieren .

Anwendungseinstellungen

Sie können DPI auch nur für bestimmte Sites deaktivieren, indem Sie die globalen DPI-Einstellungen überschreiben. Um DPI für ausgewählte Sites zu deaktivieren, fügen Sie die Sites zur Liste Site-Überschreibungen hinzu.

Anwendungseinstellungen und Gruppen