Citrix SD-WAN

Anwendungsklassifizierung

Citrix SD-WAN Appliances identifizieren und klassifizieren Anwendungen mit drei Methoden:

  • Deep Packet Inspection (DPI)
  • Citrix-proprietäre ICA-Protokoll (Independent Computing Architecture)
  • Anwendungshersteller-APIs (z. B. Microsoft REST-APIs für Office 365)

Die Deep Packet Inspection (DPI) Bibliothek erkennt Tausende kommerzieller Anwendungen. Dies ermöglicht die Echtzeiterkennung und Klassifizierung von Anwendungen. Mithilfe der DPI-Technologie analysiert die SD-WAN-Appliance die eingehenden Pakete und klassifiziert den Datenverkehr als zu einer bestimmten Anwendung oder Anwendungsfamilie. Die Anwendungsklassifizierung für jede Verbindung benötigt einige Pakete.

Um die DPI-Bibliotheksklassifizierung zu aktivieren, navigieren Sie im Konfigurations-Editorzu Global > Anwendungen > DPI-Einstellungen und aktivieren Sie das Kontrollkästchen Deep Packet Inspection aktivieren.

Citrix SD-WAN Appliances können Citrix HDX-Datenverkehr auch für virtuelle Apps und Desktops identifizieren und klassifizieren. Citrix SD-WAN erkennt die folgenden Varianten des ICA-Protokolls:

  • ICA
  • ICA-CGP
  • Einzelstream-ICA (SSI)
  • Multistream-ICA (MSI)
  • ICA über TCP
  • ICA über UDP/EDT
  • ICA über nicht standardmäßige Ports (einschließlich Multi-Port ICA)
  • Adaptiver HDX-Transport
  • ICA über WebSocket (verwendet von HTML5 Receiver)

Hinweis

Die Klassifizierung von ICA-Datenverkehr mit einem Port, der über SSL/TLS oder DTLS bereitgestellt wird, in separate Klassen basierend auf dem HDX-Prioritätstag (d. h. die einzelnen ICA-Streams), wird in der SD-WAN Standard Edition nicht unterstützt, wird jedoch in der SD-WAN Premium Edition und der SD-WAN WANOP Edition unterstützt.

Die Klassifizierung des Netzwerkverkehrs erfolgt während der anfänglichen Verbindungen oder der Flow-Einrichtung. Daher werden bereits vorhandene Verbindungen nicht als ICA klassifiziert. Die Klassifizierung der Verbindungen geht auch verloren, wenn die Verbindungstabelle manuell gelöscht wird.

Framehawk Datenverkehr und Audio-over-UDP/RTP werden nicht als HDX-Anwendungen klassifiziert. Diese alten virtuellen Kanäle werden entweder als “UDP” oder “Unbekanntes Protokoll” gemeldet.

Seit Version 10 Version 1 kann SD-WAN Standard Edition jeden ICA-Datenstrom in Multistream-ICA selbst in einer Konfiguration mit einem Port unterscheiden. Jeder ICA-Stream wird als separate Anwendung mit einer eigenen Standard-QoS-Klasse zur Priorisierung klassifiziert.

Damit die Multi-Stream-ICA-Funktionalität mit einem Port ordnungsgemäß funktioniert, müssen Sie Folgendes benötigen:

  • SD-WAN Standard Edition Version 10 Version 1 oder höher oder SD-WAN Premium Edition.
  • Eine aktuelle Version von Citrix Virtual Apps & Desktops (früher XenApp und XenDesktop), da die erforderliche Funktionalität in XenApp und XenDesktop 7.17 eingeführt wurde und nicht in der 7.15 Langzeitdienstversion enthalten ist.
  • Eine Version der Citrix Workspace App (oder deren Vorgänger Citrix Receiver), die den virtuellen HDX-Informationskanal CTXNSAP unterstützt. Suchen Sie im nach “HDX Insight with NSAP VC” Citrix Workspace-App – Featurematrix. Siehe die derzeit unterstützten Release-Versionen unter HDX-Erkenntnisse.

Nach der Klassifizierung kann die ICA-Anwendung in Anwendungsregeln und zum Anzeigen von Anwendungsstatistiken ähnlich wie bei anderen klassifizierten Anwendungen verwendet werden.

Es gibt fünf Standardanwendungsregeln für ICA-Anwendungen jeweils eine für die folgenden Prioritäts-Tags:

  • ICA
  • ICA Echtzeit (ica_priority_0)
  • ICA Interaktiv (ica_priority_1)
  • ICA Bulk-Transfer (ica_prority_2)
  • ICA-Hintergrund (ica_priority_3)
  • Unabhängige Datenverarbeitungsarchitektur (Citrix) (ICA)

Weitere Informationen finden Sie unter Regeln nach Anwendungsname

Wenn Sie eine Kombination von Software ausführen, die Multi-Stream-ICA nicht über einen einzigen Port unterstützt, müssen Sie zum Ausführen von QoS mehrere Ports konfigurieren, einen für jeden ICA-Stream.

Um HDX an nicht standardmäßigen Ports wie in der XenApp- und XenDesktop -Serverrichtlinie konfiguriert zu klassifizieren, müssen Sie diese Ports in ICA-Portkonfigurationen hinzufügen. Um den Datenverkehr an diesen Ports mit gültigen IP-Regeln abzugleichen, müssen Sie außerdem die ICA-IP-Regeln aktualisieren.

In der ICA-IP- und Portliste können Sie nicht standardmäßige Ports angeben, die in der XA/XD-Richtlinie für die HDX-Klassifizierung verwendet werden. IP-Adresse wird verwendet, um die Ports weiter auf ein bestimmtes Ziel zu beschränken. Verwenden Sie ‘*’ für Port, der zu einer beliebigen IP-Adresse bestimmt ist. IP-Adresse mit Kombination aus SSL-Port wird auch verwendet, um anzuzeigen, dass der Datenverkehr wahrscheinlich ICA ist, obwohl der Datenverkehr nicht endgültig als ICA klassifiziert wird. Diese Angabe wird verwendet, um L4 AppFlow Datensätze zur Unterstützung von Multi-Hop-Berichten in Citrix Application Delivery Management zu senden.

Um die ICA-basierte Klassifizierung zu aktivieren, navigieren Sie im Konfigurations-Editorzu Global > Applications > DPI-Einstellungen und aktivieren Sie das Kontrollkästchen Deep Packet Inspection für Citrix ICA-Anwendungen aktivieren.

Anwendungshersteller-API-basierte Klassifizierung

Citrix SD-WAN unterstützt die folgende API-basierte Klassifikation des Anwendungsherstellers:

Verschlüsselten Datenverkehr klassifizieren

Die Citrix SD-WAN Appliance erkennt verschlüsselten Datenverkehr im Rahmen der Anwendungsberichterstattung mit den folgenden beiden Methoden:

  • Für HTTPS-Datenverkehr überprüft die DPI-Engine das SSL-Zertifikat, um den gemeinsamen Namen zu lesen, der den Namen des Dienstes trägt (z. B. Facebook, Twitter). Je nach Anwendungsarchitektur kann nur ein Zertifikat für mehrere Diensttypen verwendet werden (z. B. E-Mail, Nachrichten usw.). Wenn verschiedene Dienste unterschiedliche Zertifikate verwenden, kann die DPI-Engine zwischen Diensten unterscheiden.
  • Bei Anwendungen, die ihr eigenes Verschlüsselungsprotokoll verwenden, sucht die DPI-Engine nach binären Mustern in den Flows, zum Beispiel im Falle von Skype sucht die DPI-Engine nach einem Binärmuster im Zertifikat und bestimmt die Anwendung.

So konfigurieren Sie Anwendungsklassifizierungseinstellungen:

  1. Klicken Sie im Konfigurations-Editorauf Global> Anwendungen> Einstellungen.

    Anwendungseinstellungen

    Hinweis

    Wenn Sie einen zusätzlichen ICA-Port für die Multiportbereitstellung hinzufügen, müssen diese Ports in den Anwendungsklassifizierern für die WAN-Optimierung hinzugefügt werden. Andernfalls wird der Datenverkehr auf den drei zusätzlichen Ports nicht an WANOP weitergeleitet. Nur der standardmäßige 2598-Port wird weitergeleitet, wenn ICA für die Optimierung konfiguriert ist.

    WANOP Anwendungsklammer

  2. Wählen Sie Deep Packet Inspection aktivierenaus. Dadurch wird die Anwendungsklassifizierung auf der Appliance aktiviert. Sie können Anwendungsstatistiken im SD-WAN Center anzeigen und überwachen. Weitere Informationen finden Sie unter Anwendungsbericht.

    Hinweis

    Standardmäßig erfasst Enable Deep Packet Inspection Statistiken für klassifizierte Daten.

  3. Wählen Sie Deep Packet Inspection für Citrix ICA-Anwendungen aktivieren. Dies ermöglicht die Klassifizierung von Citrix ICA-Anwendungen und sammelt Statistiken für Benutzer, Sitzungen und Flusszählungen. Wenn diese Option aktiviert ist, wird möglicherweise ein Teil des HDX-Datenverkehrs noch klassifiziert und QoE berechnet, aber Statistiken zum SD-WAN-Center sind nicht verfügbar. Sie können ICA-Anwendungsstatistiken im SD-WAN Center anzeigen und überwachen. Diese Option ist standardmäßig aktiviert. Weitere Informationen finden Sie unter HDX-Berichte.

  4. Wählen Sie Multi-Stream ICA aktivieren, um mehrere ICA-Streams in einer Sitzung zuzulassen. Diese Option ist standardmäßig deaktiviert und muss nur aktiviert werden, um QoS pro Stream-Typ bereitzustellen.

  5. Geben Sie im DPI-ICA-Portnicht standardmäßige Ports an, die in der XA/XD-Richtlinie für die Verarbeitung der HDX-Klassifizierung verwendet werden. Geben Sie keine Standardportnummern 2598 oder 1494 in diese Liste ein, da diese bereits intern enthalten sind.

  6. Geben Sie in DPI ICA IPdie IP-Adresse an, die verwendet werden soll, um die Ports auf bestimmte Ziele weiter zu beschränken.

    Hinweis

    Verwenden Sie ‘*’ für Port, der zu einer beliebigen IP-Adresse bestimmt ist.

  7. Klicken Sie auf Anwenden

Sie können die Anwendungsklassifizierungseinstellungen an jedem Standort individuell konfigurieren. Klicken Sie auf Verbindungen, wählen Sie eine Site aus und klicken Sie auf Anwendungseinstellungen. Sie können auch die globalen Anwendungseinstellungen verwenden.

Anwendungen suchen

Sie können nach einer Anwendung suchen, um den Namen der Anwendungsfamilie zu bestimmen. Eine kurze Beschreibung des Antrags ist ebenfalls enthalten.

So suchen Sie nach einer Anwendung:

  1. Klicken Sie im Konfigurations-Editor auf Global > Anwendungen > Suchen .

  2. Geben Sie im Suchfeld den Namen der Anwendung ein und klicken Sie auf Enter.

    Eine kurze Beschreibung der Anwendung und des Namens der Anwendungsfamilie wird angezeigt.

    Anwendungssuche

Die folgenden Funktionen verwenden Anwendung als Übereinstimmungstyp:

Hinweis

Informationen zu Anwendungen, die die SD-WAN-Appliance mithilfe der Deep Packet Inspection identifizieren kann, finden Sie unterAnwendungssignaturbibliothek.

Anwendungsobjekte

Anwendungsobjekte ermöglichen es Ihnen, verschiedene Typen von Übereinstimmungskriterien in einem einzigen Objekt zu gruppieren, das in Firewall-Richtlinien und Anwendungssteuerung verwendet werden kann. IP-Protokoll, Anwendung und Anwendungsfamilie sind die verfügbaren Übereinstimmungstypen.

Die folgenden Features verwenden Anwendungsobjekt als Übereinstimmungstyp:

So erstellen Sie ein Anwendungsobjekt:

  1. Klicken Sie im Konfigurations-Editor auf Global > Anwendungen > Anwendungsobjekte .

  2. Klicken Sie auf Hinzufügen, und geben Sie im Feld Name einen Namen für das Objekt ein.

    Anwendungsobjekte

  3. Wählen Sie Reporting aktivieren aus, um die Anzeige benutzerdefinierter Anwendungsberichte in Citrix SD-WAN Center zu aktivieren. Weitere Informationen, siehe Anwendungsbericht.

  4. Geben Sie im Feld Priorität die Priorität des Anwendungsobjekts ein. Wenn die eingehenden Pakete mit zwei oder mehr Anwendungsobjektdefinitionen übereinstimmen, wird die Anwendungsobjektdefinition mit der höchsten Priorität angewendet.

  5. Klicken Sie im Abschnitt Anwendungsübereinstimmungskriterien auf +.

  6. Wählen Sie einen der folgenden Übereinstimmungstypen:

    • IP-Protokoll: Geben Sie das Protokoll, die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
    • Anwendung: Geben Sie den Anwendungsnamen, die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
    • Anwendungsfamilie: Wählen Sie eine Anwendungsfamilie aus, und geben Sie die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
  7. Klicken Sie auf +, um weitere Anwendungsübereinstimmungskriterien hinzuzufügen.

  8. Klicken Sie auf Hinzufügen.

Verwenden der Anwendungsklassifizierung mit einer Firewall

Durch die Klassifizierung von Datenverkehr als Anwendungen und Anwendungsfamilien können Sie die Anwendung, Anwendungsfamilien und Anwendungsobjekte als Übereinstimmungstypen verwenden, um Datenverkehr zu filtern und Firewall-Richtlinien und -Regeln anzuwenden. Dies gilt für alle Pre-, Post- und lokalen Richtlinien. Weitere Informationen zur Firewall finden Sie unter Stateful Firewall und NAT-Unterstützung.

App-Klassifizierungsfirewall

Anwendungsklassifizierung anzeigen

Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie den Anwendungsnamen und die Anwendungsfamilie in den folgenden Berichten anzeigen:

  • Firewall-Verbindungsstatistiken

  • Informationen zu Flows

  • Anwendungsstatistiken

Firewall-Verbindungsstatistiken

Navigieren Sie im Konfigurations-Editorzu Monitoring > Firewall. Im Abschnitt Verbindungen werden in den Spalten Anwendung und Familie die Anwendungen und die zugehörige Familie aufgeführt.

Firewall-Verbindungen mit Anwendungsklassifizierung

Wenn Sie die Anwendungsklassifizierung nicht aktivieren, zeigen die Spalten Anwendung und Familie keine Daten an.

Firewall-Verbindungen ohne Anwendungsklassifizierung

Informationen zu Flows

Navigieren Sie im Konfigurations-Editorzu Monitoring > Flows. Im Abschnitt “ Flows Data “ werden in der Spalte “ Anwendung “ die Anwendungsdetails aufgeführt.

Informationen zu Flows

Anwendungsstatistiken

Navigieren Sie im Konfigurations-Editorzu Monitoring > Statistiken. Im Abschnitt Anwendungsstatistiken werden in der Spalte Anwendung die Anwendungsdetails aufgelistet.

Anwendungsstatistiken

Problembehandlung

Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie die Berichte im Abschnitt Überwachung anzeigen und sicherstellen, dass sie Anwendungsdetails anzeigen. Weitere Informationen finden Sie unter Anwendungsklassifizierung anzeigen.

Wenn ein unerwartetes Verhalten vorliegt, sammeln Sie das STS-Diagnosepaket, während das Problem beobachtet wird, und teilen Sie es mit dem Citrix Supportteam.

Das STS-Paket kann mit Konfiguration > Systemwartung > Diagnose > Diagnoseinformationenerstellt und heruntergeladen werden.

Anwendungsklassifizierung