Citrix SD-WAN

Anwendungsklassifizierung

Die Citrix SD-WAN-Appliances führen Deep Packet Inspection (DPI) durch, um Anwendungen mithilfe der folgenden Techniken zu identifizieren und zu klassifizieren:

  • Klassifizierung der DPI-Bibliothek
  • Citrix proprietäre Independent Computing Architecture (ICA) -Klassifizierung
  • Anwendungshersteller-APIs (z. B. Microsoft REST-APIs für Office 365)
  • Domänennamenbasierte Anwendungsklassifizierung

Klassifizierung der DPI-Bibliothek

Die Deep Packet Inspection (DPI) Bibliothek erkennt Tausende kommerzieller Anwendungen. Es ermöglicht die Erkennung und Klassifizierung von Anwendungen in Echtzeit. Mithilfe der DPI-Technologie analysiert die SD-WAN-Appliance die eingehenden Pakete und klassifiziert den Datenverkehr als zu einer bestimmten Anwendung oder Anwendungsfamilie. Die Anwendungsklassifizierung für jede Verbindung benötigt einige Pakete.

Um die DPI-Bibliotheksklassifizierung zu aktivieren, navigieren Sie im Konfigurationseditorzu Global > Anwendungen > DPI-Einstellungen und aktivieren Sie das Kontrollkästchen Deep Packet Inspection aktivieren.

ICA-Klassifizierung

Citrix SD-WAN Appliances können Citrix HDX-Datenverkehr auch für virtuelle Apps und Desktops identifizieren und klassifizieren. Citrix SD-WAN erkennt die folgenden Varianten des ICA-Protokolls:

  • ICA
  • ICA-CGP
  • Einzelstream-ICA (SSI)
  • Multistream-ICA (MSI)
  • ICA über TCP
  • ICA über UDP/EDT
  • ICA über nicht standardmäßige Ports (einschließlich Multi-Port-ICA)
  • HDX Adaptiver Transport
  • ICA über WebSocket (wird von HTML5 Receiver verwendet)

Hinweis

Die Klassifizierung des über SSL/TLS oder DTLS gelieferten ICA-Datenverkehrs wird in der SD-WAN Standard Edition nicht unterstützt, wird jedoch in SD-WAN Premium Edition und SD-WAN WANOP Edition unterstützt.

Die Klassifizierung des Netzwerkverkehrs erfolgt während der anfänglichen Verbindungen oder der Flow-Einrichtung. Daher werden bereits bestehende Verbindungen nicht als ICA klassifiziert. Die Klassifizierung von Verbindungen geht auch verloren, wenn die Verbindungstabelle manuell gelöscht wird.

Framehawk Datenverkehr und Audio-over-UDP/RTP werden nicht als HDX-Anwendungen klassifiziert. Sie werden entweder als “UDP” oder “Unbekanntes Protokoll” gemeldet.

Seit Version 10 Version 1 kann die SD-WAN-Appliance jeden ICA-Datenstrom in Multistream-ICA auch in einer Single-Port-Konfiguration unterscheiden. Jeder ICA-Stream wird als separate Anwendung mit einer eigenen Standard-QoS-Klasse zur Priorisierung klassifiziert.

  • Damit die Multi-Stream-ICA-Funktionalität ordnungsgemäß funktioniert, müssen Sie über SD-WAN Standard Edition 10.1 oder höher oder SD-WAN Premium Edition verfügen.

  • Damit benutzerbasierte HDX-Berichte auf SDWAN-Center angezeigt werden, benötigen Sie SD-WAN Standard Edition oder Premium Edition 11.0 oder höher.

Minimale Softwareanforderungen für den virtuellen HDX-Informationskanal:

  • Eine aktuelle Version von Citrix Virtual Apps and Desktops (früher XenApp und XenDesktop), da die erforderliche Funktionalität in XenApp und XenDesktop 7.17 eingeführt wurde und nicht in der Version 7.15 Langzeitdienst enthalten ist.

  • Eine Version der Citrix Workspace App (oder deren Vorgänger Citrix Receiver), die Multi-Stream-ICA und den virtuellen HDX Insights-Informationskanal CTXNSAP unterstützt. Suchen Sie in der Citrix Workspace-App Feature Matrix nach HDX Insight mit NSAP VCund Multiport/Multistream-ICA. Sehen Sie sich die aktuell unterstützten Release-Versionen bei HDX Insightsan.

  • Ab Version 11.2 ist die Paketduplizierung jetzt standardmäßig für HDX-Echtzeitverkehr aktiviert, wenn Multistream-ICA verwendet wird.

Nach der Klassifizierung kann die ICA-Anwendung in Anwendungsregeln und zum Anzeigen von Anwendungsstatistiken ähnlich wie bei anderen klassifizierten Anwendungen verwendet werden.

Es gibt fünf Standardanwendungsregeln für ICA-Anwendungen jeweils eine für die folgenden Prioritäts-Tags:

  • Unabhängige Datenverarbeitungsarchitektur (Citrix) (ICA)
  • ICA Echtzeit (ica_priority_0)
  • ICA Interaktiv (ica_priority_1)
  • ICA Bulk-Transfer (ica_prority_2)
  • ICA-Hintergrund (ica_priority_3)

Weitere Informationen finden Sie unter Regeln nach Anwendungsname

Wenn Sie eine Kombination von Software ausführen, die Multi-Stream-ICA nicht über einen einzigen Port unterstützt, müssen Sie zum Ausführen von QoS mehrere Ports konfigurieren, einen für jeden ICA-Stream. Um HDX auf nicht standardmäßigen Ports wie in der XA/XD-Serverrichtlinie konfiguriert zu klassifizieren, müssen Sie diese Ports in ICA-Portkonfigurationen hinzufügen. Um den Datenverkehr an diesen Ports mit gültigen IP-Regeln abzugleichen, müssen Sie außerdem die ICA-IP-Regeln aktualisieren.

In der ICA-IP- und Portliste können Sie nicht standardmäßige Ports angeben, die in der XA/XD-Richtlinie für die HDX-Klassifizierung verwendet werden. IP-Adresse wird verwendet, um die Ports weiter auf ein bestimmtes Ziel zu beschränken. Verwenden Sie ‘*’ für den Port, der für eine beliebige IP-Adresse bestimmt ist. IP-Adresse mit Kombination aus SSL-Port wird auch verwendet, um anzuzeigen, dass der Datenverkehr wahrscheinlich ICA ist, obwohl der Datenverkehr nicht endgültig als ICA klassifiziert wird. Diese Angabe wird verwendet, um L4 AppFlow Datensätze zur Unterstützung von Multi-Hop-Berichten in Citrix Application Delivery Management zu senden.

Um die ICA-basierte Klassifizierung zu aktivieren, navigieren Sie im Konfigurationseditorzu Global > Applications > DPI-Einstellungen und aktivieren Sie das Kontrollkästchen Deep Packet Inspection für Citrix ICA-Anwendungen aktivieren.

Anwendungshersteller-API-basierte Klassifizierung

Citrix SD-WAN unterstützt die folgende API-basierte Klassifikation des Anwendungsherstellers:

Domänennamenbasierte Anwendungsklassifizierung

Die DPI-Klassifikations-Engine wurde erweitert, um Anwendungen basierend auf dem Domänennamen und -mustern zu klassifizieren. Nachdem der DNS-Weiterleitung die DNS-Anforderungen abgefangen und analysiert hat, verwendet die DPI-Engine den IP-Klassifizierer, um die erste Paketklassifizierung durchzuführen. Weitere DPI-Bibliothek und ICA-Klassifizierung werden durchgeführt und die auf Domänennamen basierende Anwendungs-ID wird angehängt.

Mit der auf Domänennamen basierenden Anwendungsfunktion können Sie mehrere Domainnamen gruppieren und als eine einzige Anwendung behandeln. Dies erleichtert die Anwendung von Firewall, Anwendungssteuerung, QoS und anderen Regeln. Maximal 64 auf Domänennamen basierende Anwendungen können konfiguriert werden.

Um auf Domänennamen basierende Anwendungen zu definieren, navigieren Sie im Konfigurationseditor zu Global > Anwendungen > Domänennamen-basierte Anwendungen. Geben Sie einen Anwendungsnamen ein und fügen Sie die erforderlichen Domainnamen oder -muster hinzu. Sie können entweder den vollständigen Domainnamen eingeben oder am Anfang Wildcards verwenden. Die folgenden Domainnamen-Formate sind zulässig:

  • beispiel.com
  • *.beispiel.com

Domainnamen-basierte Anwendungen

Die klassifizierten Domänennamen-basierten Anwendungen werden für die Konfiguration der folgenden verwendet:

Hinweis

Ab Version 11.4.2 unterstützen die auf Domänennamen basierenden Anwendungen konfigurierbare Ports und Protokolle im Citrix SD-WAN Orchestrator Service. Weitere Informationen finden Sie unter Domänen und Anwendungen.

Einschränkungen

  • Wenn keine DNS-Anfrage/Antwort vorhanden ist, die einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänenbasierte Anwendung nicht und wendet daher nicht die Anwendungsregeln an, die der domänenbasierten Anwendung entsprechen.
  • Wenn ein Anwendungsobjekt so erstellt wird, dass der Portbereich Port 80 und/oder Port 443 mit einem bestimmten IP-Adressenübereinstimmungstyp enthält, der einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänennamenbasierte Anwendung nicht.
  • Wenn explizite Webproxys konfiguriert sind, müssen Sie der PAC-Datei alle Domänennamenmuster hinzufügen, um sicherzustellen, dass die DNS-Antwort nicht immer dieselbe IP-Adresse zurückgibt.
  • Die domänennamenbasierten Anwendungsklassifizierungen werden beim Konfigurationsupdate zurückgesetzt. Die Reklassifizierung erfolgt basierend auf Klassifizierungstechniken vor 11.0.2, wie DPI-Bibliotheksklassifizierung, ICA-Klassifizierung und Anbieteranwendungs-APIs basierend auf Klassifizierung.
  • Die erlernten Anwendungssignaturen (Ziel-IP-Adressen) nach der domänenbasierten Anwendungsklassifizierung werden bei der Konfigurationsupdate zurückgesetzt.
  • Nur die standardmäßigen DNS-Abfragen und deren Antworten werden verarbeitet.
  • AAAA-Einträge oder IPv6-Einträge werden nicht unterstützt.
  • DNS-Antwortdatensätze, die auf mehrere Pakete aufgeteilt sind, werden nicht verarbeitet. Es werden nur DNS-Antworten in einem einzigen Paket verarbeitet.
  • DNS über TCP wird nicht unterstützt.
  • Nur Top-Level-Domains werden als Domainnamenmuster unterstützt.

Verschlüsselten Datenverkehr klassifizieren

Die Citrix SD-WAN Appliance erkennt und meldet verschlüsselten Datenverkehr im Rahmen der Anwendungsberichterstattung mit den folgenden zwei Methoden:

  • Für den HTTPS-Verkehr überprüft die DPI-Engine das SSL-Zertifikat, um den gebräuchlichen Namen zu lesen, der den Namen des Dienstes trägt (z. B. Facebook, Twitter). Abhängig von der Anwendungsarchitektur kann nur ein Zertifikat für mehrere Diensttypen verwendet werden (z. B. E-Mail, Nachrichten usw.). Wenn verschiedene Dienste unterschiedliche Zertifikate verwenden, kann die DPI-Engine zwischen Diensten unterscheiden.
  • Für Anwendungen, die ihr eigenes Verschlüsselungsprotokoll verwenden, sucht die DPI-Engine in den Datenflüssen nach binären Mustern, z. B. sucht die DPI-Engine bei Skype nach einem binären Muster innerhalb des Zertifikats und bestimmt die Anwendung.

So konfigurieren Sie Einstellungen für die Anwendungsklassifizierung:

  1. Klicken Sie im Konfigurationseditorauf Global > Anwendungen > Einstellungen.

    Anwendungseinstellungen

    Hinweis

    Wenn Sie zusätzlichen ICA-Port für die Bereitstellung mit mehreren Ports hinzufügen, müssen diese Ports in Anwendungsklassifizierern für die WAN-Optimierung hinzugefügt werden. Andernfalls wird der Datenverkehr auf den drei zusätzlichen Ports nicht an WANOP weitergeleitet. Nur der standardmäßige 2598-Port wird weitergeleitet, wenn ICA für die Optimierung konfiguriert ist.

    WANOP Anwendungsklassifiziererg)

  2. Wählen Sie Deep Packet Inspection aktivierenaus. Dies ermöglicht eine Anwendungsklassifizierung auf der Appliance. Sie können Anwendungsstatistiken im SD-WAN Center anzeigen und überwachen. Weitere Informationen finden Sie unter Anwendungsbericht.

    Hinweis

    Standardmäßig sammelt Enable Deep Packet Inspection Statistiken für klassifizierte Daten.

  3. Wählen Sie Deep Packet Inspection für Citrix ICA-Anwendungen aktivieren. Dies ermöglicht die Klassifizierung von Citrix ICA-Anwendungen und sammelt Statistiken für Benutzer, Sitzungen und Flusszählungen. Ohne diese Option aktiviert, könnte ein Teil des HDX-Datenverkehrs immer noch klassifiziert und QoE berechnet werden, aber Statistiken zum SD-WAN-Center sind nicht verfügbar. Sie können ICA-Anwendungsstatistiken im SD-WAN Center anzeigen, anzeigen und überwachen. Diese Option ist standardmäßig aktiviert. Weitere Informationen finden Sie unter HDX-Berichte.

  4. Wählen Sie HDX User Reporting aktivieren aus, um neu hinzugefügte benutzerbasierte Berichte (HDX Summary, HDX User Sessions und HDX Apps) zu generieren. Diese Berichte sind im SD-WAN Center verfügbar. Dies gilt nicht für den HDX Site Stats Bericht. Diese Option ist auf globaler Ebene und Standortebene verfügbar, ähnlich der DPI-Option. Um HDX User Reporting auf Standortebene zu aktivieren, klicken Sie im Konfigurationseditorauf Verbindungen > Anwendungen.

    Aktivieren Sie HDX-Reporting

  5. Geben Sie im DPI-ICA-Portnicht standardmäßige Ports an, die in der XA/XD-Richtlinie für die Verarbeitung der HDX-Klassifizierung verwendet werden. Nehmen Sie keine Standardportnummern 2598 oder 1494 in diese Liste auf, da diese bereits intern enthalten sind.

  6. Geben Sie in DPI-ICA-IPdie IP-Adresse an, die verwendet werden soll, um die Ports auf das spezifische Ziel weiter zu beschränken.

    Hinweis

    Verwenden Sie ‘*’ für den Port, der für eine beliebige IP-Adresse bestimmt ist.

  7. Klicken Sie auf Anwenden

Sie können die Einstellungen für die Anwendungsklassifizierung an jedem Standort einzeln konfigurieren. Klicken Sie auf Verbindungen, wählen Sie eine Site aus und klicken Sie auf Anwendungseinstellungen. Sie können auch die globalen Anwendungseinstellungen verwenden.

Suche nach Anwendungen

Sie können nach einer Anwendung suchen, um den Familiennamen der Anwendung zu ermitteln. Eine kurze Beschreibung der Anwendung wird ebenfalls bereitgestellt.

So suchen Sie nach einer Anwendung:

  1. Klicken Sie im Konfigurationseditor auf Global > Anwendungen > Suchen .

  2. Geben Sie im Suchfeld den Namen der Anwendung ein und klicken Sie auf die Eingabetaste.

    Eine kurze Beschreibung der Anwendung und des Namens der Anwendungsfamilie wird angezeigt.

    Anwendungssuche

Die folgenden Funktionen verwenden die Anwendung als Übereinstimmungstyp:

Hinweis

Informationen zu Anwendungen, die die SD-WAN-Appliance mithilfe von Deep Packet Inspection identifizieren kann, finden Sie unter Anwendungssignaturbibliothek.

Anwendungsobjekte

Anwendungsobjekte ermöglichen es Ihnen, verschiedene Arten von Übereinstimmungskriterien in einem einzigen Objekt zu gruppieren, das für Firewall-Richtlinien und Anwendungssteuerung verwendet werden kann. IP-Protokoll, Anwendung und Anwendungsfamilie sind die verfügbaren Übereinstimmungstypen.

Die folgenden Funktionen verwenden das Anwendungsobjekt als Übereinstimmungstyp:

So erstellen Sie ein Anwendungsobjekt:

  1. Klicken Sie im Konfigurationseditor auf Global > Anwendungen > Anwendungsobjekte.

  2. Klicken Sie auf Hinzufügen und geben Sie im Feld Name einen Namen für das Objekt ein.

    Anwendungsobjekte

  3. Wählen Sie Reporting aktivieren aus, um die Anzeige benutzerdefinierter Anwendungsberichte in Citrix SD-WAN Center zu ermöglichen. Weitere Informationen finden Sie unter Anwendungsbericht.

  4. Geben Sie im Feld Priorität die Priorität des Anwendungsobjekts ein. Wenn die eingehenden Pakete mit zwei oder mehr Anwendungsobjektdefinitionen übereinstimmen, wird das Anwendungsobjekt mit der höchsten Priorität angewendet.

  5. Klicken Sie im Abschnitt Übereinstimmungskriterien der Anwendung auf + .

  6. Wählen Sie einen der folgenden Übereinstimmungstypen aus:

    • IP-Protokoll: Geben Sie das Protokoll, die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
    • Anwendung: Geben Sie den Anwendungsnamen, die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
    • Anwendungsfamilie: Wählen Sie eine Anwendungsfamilie aus und geben Sie die Netzwerk-IP-Adresse, die Portnummer und das DSCP-Tag an.
  7. Klicken Sie auf +, um weitere Anwendungsübereinstimmungskriterien hinzuzufügen.

  8. Klicken Sie auf Hinzufügen.

Verwenden der Anwendungsklassifizierung mit einer Firewall

Die Klassifizierung des Datenverkehrs als Anwendungen, Anwendungsfamilien oder Domainnamen ermöglicht es Ihnen, die Anwendung, Anwendungsfamilien und Anwendungsobjekte als Übereinstimmungstypen zu verwenden, um den Datenverkehr zu filtern und Firewall-Richtlinien und -Regeln anzuwenden. Sie gilt für alle Vor-, Post- und lokalen Richtlinien. Weitere Informationen zur Firewall finden Sie unter Stateful Firewall und NAT-Support.

Anwendungsklassifizierung in Firewall

Anwendungsklassifizierung anzeigen

Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie den Anwendungsnamen und die Anwendungsfamilie in den folgenden Berichten anzeigen:

  • Firewall-Verbindungsstatistiken

  • Informationen zu Flows

  • Anwendungsstatistiken

Firewall-Verbindungsstatistiken

Navigieren Sie im Konfigurationseditorzu Monitoring > Firewall. Im Abschnitt Verbindungen werden in den Spalten Anwendung und Familie die Anwendungen und die zugehörige Familie aufgeführt.

Firewall-Verbindungen mit Anwendungsklassifizierung

Wenn Sie die Anwendungsklassifizierung nicht aktivieren, zeigen die Spalten Anwendung und Familie keine Daten an.

Firewall-Verbindungen ohne Anwendungsklassifizierung

Informationen zu Flows

Navigieren Sie im Konfigurationseditorzu Überwachung > Flows. Im Abschnitt “ Flows Data “ werden in der Spalte “ Anwendung “ die Anwendungsdetails aufgeführt.

Informationen zu Flows

Anwendungsstatistiken

Navigieren Sie im Konfigurationseditorzu Monitoring > Statistiken. Im Abschnitt Anwendungsstatistiken werden in der Spalte Anwendung die Anwendungsdetails aufgelistet.

Anwendungsstatistiken

Problembehandlung

Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie die Berichte im Abschnitt Überwachung anzeigen und sicherstellen, dass sie Anwendungsdetails anzeigen. Weitere Informationen finden Sie unter Anzeigen der Anwendungsklassifizierung.

Wenn ein unerwartetes Verhalten vorliegt, sammeln Sie das STS-Diagnosepaket, während das Problem beobachtet wird, und teilen Sie es mit dem Citrix Supportteam.

Das STS-Paket kann mit Konfiguration > Systemwartung > Diagnose > Diagnoseinformationenerstellt und heruntergeladen werden.