Citrix SD-WAN Orchestrator

Anwendungsklassifizierung

Die Citrix SD-WAN-Appliances führen Deep Packet Inspection (DPI) durch, um Anwendungen mithilfe der folgenden Techniken zu identifizieren und zu klassifizieren:

  • Klassifizierung der DPI-Bibliothek
  • Citrix proprietäre Independent Computing Architecture (ICA) -Klassifizierung
  • Anwendungshersteller-APIs (z. B. Microsoft REST-APIs für Office 365)
  • Domänennamenbasierte Anwendungsklassifizierung

Klassifizierung der DPI-Bibliothek

Die Deep Packet Inspection (DPI) Bibliothek erkennt Tausende kommerzieller Anwendungen. Es ermöglicht die Erkennung und Klassifizierung von Anwendungen in Echtzeit. Mithilfe der DPI-Technologie analysiert die SD-WAN-Appliance die eingehenden Pakete und klassifiziert den Datenverkehr als zu einer bestimmten Anwendung oder Anwendungsfamilie.

DPI ist standardmäßig global für alle Sites in Ihrem Netzwerk aktiviert. Die Deaktivierung von DPI stoppt die DPI-Klassifizierungsfunktion auf der Appliance. Sie können keine DPI-klassifizierten Anwendungs-/Anwendungskategorien mehr verwenden, um Firewall-, QoS- und Routing-Richtlinien zu konfigurieren. Sie können auch den Bericht über die wichtigsten Anwendungen und Anwendungskategorien nicht anzeigen.

Um globale DPI-Werte zu deaktivieren, navigieren Sie auf Netzwerkebene zu Konfiguration > App-Einstellungen & Gruppen > DPI-Einstellungen und deaktivieren Sie das Kontrollkästchen Globale DPI aktivieren .

Um die DPI-Bibliotheksklassifizierung zu aktivieren, navigieren Sie im Konfigurationseditorzu Global > Anwendungen > DPI-Einstellungen und aktivieren Sie das Kontrollkästchen Deep Packet Inspection aktivieren.

DPI-Einstellungen

ICA-Klassifizierung

Citrix SD-WAN Appliances können Citrix HDX-Datenverkehr auch für virtuelle Apps und Desktops identifizieren und klassifizieren. Citrix SD-WAN erkennt die folgenden Varianten des ICA-Protokolls:

  • ICA
  • ICA-CGP
  • Einzelstream-ICA (SSI)
  • Multistream-ICA (MSI)
  • ICA über TCP
  • ICA über UDP/EDT
  • ICA über nicht standardmäßige Ports (einschließlich Multi-Port-ICA)
  • HDX Adaptiver Transport
  • ICA über WebSocket (wird von HTML5 Receiver verwendet)

Hinweis

Die Klassifizierung des über SSL/TLS oder DTLS gelieferten ICA-Datenverkehrs wird in der SD-WAN Standard Edition nicht unterstützt, wird jedoch in SD-WAN Premium Edition und SD-WAN WANOP Edition unterstützt.

Die Klassifizierung des Netzwerkverkehrs erfolgt während der anfänglichen Verbindungen oder der Flow-Einrichtung. Daher werden bereits bestehende Verbindungen nicht als ICA klassifiziert. Die Klassifizierung von Verbindungen geht auch verloren, wenn die Verbindungstabelle manuell gelöscht wird.

Framehawk Datenverkehr und Audio-over-UDP/RTP werden nicht als HDX-Anwendungen klassifiziert. Sie werden entweder als “UDP” oder “Unbekanntes Protokoll” gemeldet.

Seit Version 10 Version 1 kann die SD-WAN-Appliance jeden ICA-Datenstrom in Multistream-ICA auch in einer Single-Port-Konfiguration unterscheiden. Jeder ICA-Stream wird als separate Anwendung mit einer eigenen Standard-QoS-Klasse zur Priorisierung klassifiziert.

  • Damit die Multistream-ICA-Funktionalität ordnungsgemäß funktioniert, verwenden Sie SD-WAN Standard Edition 10.1 oder höher oder SD-WAN Premium Edition.

  • Verwenden Sie SD-WAN Standard Edition oder Premium Edition 11.0 oder höher, damit HDX-benutzerbasierte Berichte im SDWAN-Center angezeigt werden.

Minimale Softwareanforderungen für den virtuellen HDX-Informationskanal:

  • Eine aktuelle Version von Citrix Virtual Apps and Desktops (früher XenApp und XenDesktop), da die erforderliche Funktionalität in XenApp und XenDesktop 7.17 eingeführt wurde und nicht in der Version 7.15 Langzeitdienst enthalten ist.

  • Eine Version der Citrix Workspace App (oder deren Vorgänger Citrix Receiver), die Multi-Stream-ICA und den virtuellen HDX Insights-Informationskanal CTXNSAP unterstützt. Suchen Sie in der Citrix Workspace-App Feature Matrix nach HDX Insight mit NSAP VCund Multiport/Multistream-ICA. Sehen Sie sich die aktuell unterstützten Release-Versionen bei HDX Insightsan.

  • Ab Version 11.2 ist die Paketduplizierung jetzt standardmäßig für HDX-Echtzeitverkehr aktiviert, wenn Multistream-ICA verwendet wird.

Nach der Klassifizierung kann die ICA-Anwendung in Anwendungsregeln und zum Anzeigen von Anwendungsstatistiken ähnlich wie bei anderen klassifizierten Anwendungen verwendet werden.

Es gibt fünf Standardanwendungsregeln für ICA-Anwendungen jeweils eine für die folgenden Prioritäts-Tags:

  • Unabhängige Datenverarbeitungsarchitektur (Citrix) (ICA)
  • ICA Echtzeit (ica_priority_0)
  • ICA Interaktiv (ica_priority_1)
  • ICA Bulk-Transfer (ica_prority_2)
  • ICA-Hintergrund (ica_priority_3)

Weitere Informationen finden Sie unter Regeln nach Anwendungsname

Wenn Sie eine Kombination von Software ausführen, die Multi-Stream-ICA nicht über einen einzigen Port unterstützt, müssen Sie zum Ausführen von QoS mehrere Ports konfigurieren, einen für jeden ICA-Stream. Um HDX auf nicht standardmäßigen Ports wie in der XA/XD-Serverrichtlinie konfiguriert zu klassifizieren, müssen Sie diese Ports in ICA-Portkonfigurationen hinzufügen. Um den Datenverkehr an diesen Ports mit gültigen IP-Regeln abzugleichen, müssen Sie außerdem die ICA-IP-Regeln aktualisieren.

In der ICA-IP- und Portliste können Sie nicht standardmäßige Ports angeben, die in der XA/XD-Richtlinie für die Verarbeitung der HDX-Klassifizierung verwendet werden. IP-Adresse wird verwendet, um die Ports weiter auf ein bestimmtes Ziel zu beschränken. Verwenden Sie ‘*’ für Port, der zu einer beliebigen IP-Adresse bestimmt ist. IP-Adresse mit Kombination von SSL-Port wird auch verwendet, um anzuzeigen, dass der Datenverkehr wahrscheinlich ICA ist, obwohl der Datenverkehr nicht schließlich als ICA klassifiziert wird. Diese Angabe wird verwendet, um L4 AppFlow Datensätze zur Unterstützung von Multi-Hop-Berichten in Citrix Application Delivery Management zu senden.

Informationen zum Aktivieren der ICA-Klassifizierung finden Sie unter HDX QoE-Konfiguration

ICA-Verhaltensmatrix

  MCN Orchestator-Dienst
ICA Ein Ein
MSI Ein Aus
HDX-Berichte Ein Aus
Anwendung QoE Nicht konfiguriert Nicht konfiguriert

Anwendungshersteller-API-basierte Klassifizierung

Citrix SD-WAN unterstützt die folgende API-basierte Klassifikation des Anwendungsherstellers:

Domänennamenbasierte Anwendungsklassifizierung

Die DPI-Klassifikations-Engine wurde erweitert, um Anwendungen basierend auf dem Domänennamen und -mustern zu klassifizieren. Nachdem der DNS-Forwarder die DNS-Anforderungen abgefangen und analysiert hat, verwendet die DPI-Engine den IP-Klassifizierer, um die erste Paketklassifizierung durchzuführen. Weitere DPI-Bibliothek und ICA-Klassifizierung werden durchgeführt und die auf Domänennamen basierende Anwendungs-ID wird angehängt.

Mit der auf Domänennamen basierenden Anwendungsfunktion können Sie mehrere Domainnamen gruppieren und als eine einzige Anwendung behandeln. Dies erleichtert die Anwendung von Firewall, Anwendungssteuerung, QoS und anderen Regeln. Maximal 64 auf Domänennamen basierende Anwendungen können konfiguriert werden.

Um domänennamenbasierte Anwendungen zu definieren, navigieren Sie auf Netzwerkebene zu App-Einstellungen & Gruppen > Domänen und Apps > Domänennamenbasierte Apps. Geben Sie einen Anwendungsnamen ein und fügen Sie die erforderlichen Domainnamen oder -muster hinzu. Sie können entweder den vollständigen Domainnamen eingeben oder am Anfang Wildcards verwenden. Die folgenden Domainnamen-Formate sind zulässig:

  • beispiel.com
  • *.beispiel.com

Domainnamen-basierte Anwendungen

Die klassifizierten Domänennamen-basierten Anwendungen werden für die Konfiguration der folgenden verwendet:

Hinweis

Ab Citrix SD-WAN 11.5 werden IPv6- und AAAA-Datensätze unterstützt.

Einschränkungen

  • Wenn keine DNS-Anfrage/Antwort vorhanden ist, die einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänenbasierte Anwendung nicht und wendet daher nicht die Anwendungsregeln an, die der domänenbasierten Anwendung entsprechen.
  • Wenn ein Anwendungsobjekt so erstellt wird, dass der Portbereich Port 80 und/oder Port 443 mit einem bestimmten IP-Adressenübereinstimmungstyp enthält, der einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänennamenbasierte Anwendung nicht.
  • Wenn explizite Webproxys konfiguriert sind, müssen Sie der PAC-Datei alle Domänennamenmuster hinzufügen, um sicherzustellen, dass die DNS-Antwort nicht immer dieselbe IP-Adresse zurückgibt.
  • Die domänennamenbasierten Anwendungsklassifizierungen werden beim Konfigurationsupdate zurückgesetzt. Die Reklassifizierung erfolgt basierend auf Klassifizierungstechniken vor 11.0.2, wie DPI-Bibliotheksklassifizierung, ICA-Klassifizierung und Anbieteranwendungs-APIs basierend auf Klassifizierung.
  • Die erlernten Anwendungssignaturen (Ziel-IP-Adressen) nach der domänenbasierten Anwendungsklassifizierung werden bei der Konfigurationsupdate zurückgesetzt.
  • Nur die standardmäßigen DNS-Abfragen und deren Antworten werden verarbeitet.
  • DNS-Antwortdatensätze, die auf mehrere Pakete aufgeteilt sind, werden nicht verarbeitet. Es werden nur DNS-Antworten in einem einzigen Paket verarbeitet.
  • DNS über TCP wird nicht unterstützt.
  • Nur Top-Level-Domains werden als Domainnamenmuster unterstützt.

Verschlüsselten Datenverkehr klassifizieren

Die Citrix SD-WAN Appliance erkennt und meldet verschlüsselten Datenverkehr im Rahmen der Anwendungsberichterstattung mit den folgenden zwei Methoden:

  • Für den HTTPS-Verkehr überprüft die DPI-Engine das SSL-Zertifikat, um den gebräuchlichen Namen zu lesen, der den Namen des Dienstes trägt (z. B. Facebook, Twitter). Abhängig von der Anwendungsarchitektur kann nur ein Zertifikat für mehrere Diensttypen verwendet werden (z. B. E-Mail, Nachrichten usw.). Wenn verschiedene Dienste unterschiedliche Zertifikate verwenden, kann die DPI-Engine zwischen Diensten unterscheiden.
  • Bei Anwendungen, die ihr eigenes Verschlüsselungsprotokoll verwenden, sucht die DPI-Engine nach binären Mustern in den Flows. Im Fall von Skype sucht die DPI-Engine beispielsweise nach einem Binärmuster innerhalb des Zertifikats und bestimmt die Anwendung.

Eine detaillierte Vorgehensweise zum Konfigurieren von verschlüsseltem Datenverkehr und Anzeigen von Berichten finden Sie unter HDX QoE.

So konfigurieren Sie Einstellungen für die Anwendungsklassifizierung:

Anwendungsgruppen

Mit Anwendungsgruppen können Sie verschiedene Arten von Übereinstimmungskriterien in einem einzigen Objekt gruppieren, das in Firewall-Richtlinien und Anwendungssteuerung verwendet werden kann. IP-Protokoll, Anwendung und Anwendungsfamilie sind die verfügbaren Übereinstimmungstypen.

Die folgenden Funktionen verwenden Anwendungsgruppen als Übereinstimmungstyp:

Weitere Informationen zum Erstellen von Anwendungsgruppen finden Sie unter Anwendungsgruppen

Anwendungsklassifizierung