Citrix SD-WAN Orchestrator

Clasificación de aplicaciones

Los dispositivos Citrix SD-WAN realizan una inspección profunda de paquetes (PPP) para identificar y clasificar aplicaciones mediante las siguientes técnicas:

  • Clasificación de bibliotecas de PPP
  • Clasificación de arquitectura informática independiente (ICA) propiedad de Citrix
  • API de proveedores de aplicaciones (por ejemplo, API de REST de Microsoft para Office 365)
  • Clasificación de aplicaciones basada en nombres de dominio

Clasificación de bibliotecas de PPP

La biblioteca Deep Packet Inspection (PPP) reconoce miles de aplicaciones comerciales. Permite el descubrimiento y la clasificación de aplicaciones en tiempo real. Mediante la tecnología PPP, el dispositivo SD-WAN analiza los paquetes entrantes y clasifica el tráfico como perteneciente a una aplicación o familia de aplicaciones en particular.

PPP está habilitado globalmente, de forma predeterminada, para todos los sitios de la red. La inhabilitación de PPP detiene la capacidad de clasificación de PPP en el dispositivo. Ya no puede utilizar las categorías de aplicaciones o aplicaciones clasificadas por PPP para configurar directivas de firewall, QoS y enrutamiento. Tampoco podrá ver el informe de aplicaciones y categorías de aplicaciones principales.

Para inhabilitar el DPI global, en el nivel de red, vaya a Configuración > Configuración y grupos de aplicaciones > Configuración de DPI y desactive la opción Habilitar DPI global.

Para habilitar la clasificación de bibliotecas de PPP, en el Editor de configuración, vaya a Global > Aplicaciones > Configuración de PPP y marque la casilla Habilitar inspección profunda de paquetes.

Configuración de DPI

Clasificación ICA

Los dispositivos Citrix SD-WAN también pueden identificar y clasificar el tráfico de Citrix HDX para aplicaciones virtuales y escritorios. Citrix SD-WAN reconoce las siguientes variaciones del protocolo ICA:

  • ICA
  • ICA-CGP
  • ICA de flujo único (SSI)
  • ICA multisecuencia (MSI)
  • ICA a través de TCP
  • ICA sobre UDP/EDT
  • ICA a través de puertos no estándar (incluida ICA multipuerto)
  • Transporte adaptable HDX
  • ICA sobre WebSocket (usado por HTML5 Receiver)

Nota

La clasificación del tráfico ICA entregado a través de SSL/TLS o DTLS no se admite en SD-WAN Standard Edition, pero sí en SD-WAN Premium Edition y SD-WAN WANOP Edition.

La clasificación del tráfico de red se realiza durante las conexiones iniciales o el establecimiento del flujo. Por lo tanto, las conexiones preexistentes no se clasifican como ICA. La clasificación de las conexiones también se pierde cuando la tabla de conexiones se borra manualmente.

El tráfico Framehawk y Audio-over-UDP/RTP no se clasifican como aplicaciones HDX. Se informan como “UDP” o “Protocolo desconocido”.

Desde la publicación 10, versión 1, el dispositivo SD-WAN puede diferenciar cada flujo de datos ICA en ICA multisecuencia, incluso en una configuración de puerto único. Cada secuencia ICA se clasifica como una aplicación independiente con su propia clase QoS predeterminada para la priorización.

  • Para que la funcionalidad Multi-Stream ICA funcione correctamente, utilice SD-WAN Standard Edition 10.1 o superior, o SD-WAN Premium Edition.

  • Para que los informes basados en usuarios de HDX se muestren en SDWAN-Center, utilice SD-WAN Standard Edition o Premium Edition 11.0 o superior.

Requisitos mínimos de software para el canal virtual de información HDX:

  • Versión actual de Citrix Virtual Apps and Desktops (anteriormente XenApp y XenDesktop), ya que la funcionalidad necesaria se introdujo en XenApp y XenDesktop 7.17 y no está incluida en la versión 7.15 de servicio a largo plazo.

  • Versión de la aplicación Citrix Workspace (o de su predecesora, Citrix Receiver) que admite ICA multi-stream y el canal virtual de información HDX Insights, CTXNSAP. Busque HDX Insight con NSAP VC y ICA multipuerto/multisecuencia en la tabla de funciones de la aplicación Citrix Workspace. Consulte las versiones de lanzamiento compatibles actualmente en HDX Insights.

  • A partir de la versión 11.2, la duplicación de paquetes ahora está habilitada de forma predeterminada para el tráfico HDX en tiempo real cuando se usa ICA multisecuencia.

Una vez clasificada, la aplicación ICA se puede utilizar en reglas de aplicación y para ver estadísticas de aplicación similares a otras aplicaciones clasificadas.

Hay cinco reglas de aplicación predeterminadas para las aplicaciones ICA, una cada una para las siguientes etiquetas de prioridad:

  • Arquitectura informática independiente (Citrix) (ICA)
  • ICA en tiempo real (ica_priority_0)
  • ICA interactiva (ica_priority_1)
  • Transferencia masiva ICA (ica_prority_2)
  • Fondo ICA (ica_priority_3)

Para obtener más información, consulte Reglas por nombre de aplicación

Si está ejecutando una combinación de software que no admite Multi-Stream ICA en un solo puerto, entonces para realizar QoS debe configurar varios puertos, uno para cada secuencia ICA. Para clasificar HDX en puertos no estándar tal y como se configura en la directiva de servidor XA/XD, debe agregar esos puertos en configuraciones de puertos ICA. Además, para hacer coincidir el tráfico en esos puertos con las reglas IP válidas, debe actualizar las reglas IP de ICA.

En ICA IP y lista de puertos puede especificar puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. La dirección IP se utiliza para restringir aún más los puertos a un destino específico. Utilice ‘*’ para el puerto destinado a cualquier dirección IP. La dirección IP con combinación de puerto SSL también se utiliza para indicar que el tráfico es probable ICA aunque el tráfico no se clasifica finalmente como ICA. Esta indicación se utiliza para enviar registros L4 AppFlow para admitir informes de saltos múltiples en Citrix Application Delivery Management.

Para obtener información sobre cómo habilitar la clasificación ICA, consulte Configuración de HDX QoE

matriz de comportamiento ICA

  MCN Servicio de orquestador
ICA
MSI No
Informes HDX No
QoE de aplicaciones No configurado No está configurado

Clasificación basada en API de proveedores de aplicaciones

Citrix SD-WAN admite la siguiente clasificación basada en API de proveedor de aplicaciones:

Clasificación de aplicaciones basada en nombres de dominio

El motor de clasificación de PPP se ha mejorado para clasificar las aplicaciones en función del nombre de dominio y los patrones. Una vez que el reenviador DNS intercepta y analiza las solicitudes DNS, el motor de PPP utiliza el clasificador IP para realizar la primera clasificación de paquetes. Se realizan más bibliotecas de PPP y clasificación ICA y se anexa el ID de aplicación basado en nombres de dominio.

La función de aplicación basada en nombres de dominio permite agrupar varios nombres de dominio y tratarlos como una única aplicación. Facilita la aplicación de firewall, dirección de aplicaciones, QoS y otras reglas. Se pueden configurar un máximo de 64 aplicaciones basadas en nombres de dominio.

Para definir aplicaciones basadas en nombres de dominio, al nivel de red, vaya a Configuración y grupos de aplicaciones > Dominios y aplicaciones > Aplicacionesbasadas en nombres de dominio. Introduzca el nombre de una aplicación y agregue los nombres de dominio o patrones necesarios. Puede introducir el nombre de dominio completo o utilizar comodines al principio. Se permiten los siguientes formatos de nombres de dominio:

  • ejemplo.com
  • *.ejemplo.com

Aplicaciones basadas en nombres de dominio

Las aplicaciones basadas en nombres de dominio clasificados se utilizan para configurar lo siguiente:

Nota

A partir de Citrix SD-WAN 11.5, se admiten los registros IPv6 y AAAA.

Limitaciones

  • Si no hay solicitud/respuesta DNS correspondiente a una aplicación basada en nombres de dominio, el motor PPP no clasifica la aplicación basada en nombres de dominio y, por lo tanto, no aplica las reglas de aplicación correspondientes a la aplicación basada en nombres de dominio.
  • Si se crea un objeto de aplicación de forma que el intervalo de puertos incluya el puerto 80 y/o el puerto 443, con un tipo de coincidencia de dirección IP específico que corresponde a una aplicación basada en nombres de dominio, el motor PPP no clasifica la aplicación basada en nombres de dominio.
  • Si se configuran proxies web explícitos, debe agregar todos los patrones de nombres de dominio al archivo PAC, para asegurarse de que la respuesta DNS no siempre devuelve la misma dirección IP.
  • Las clasificaciones de aplicaciones basadas en nombres de dominio se restablecen al actualizar la configuración. La reclasificación se realiza en función de las técnicas de clasificación de versiones anteriores a 11.0.2, como la clasificación de bibliotecas PPP, la clasificación ICA y la clasificación basada en API de aplicaciones de proveedores.
  • Las firmas de aplicación aprendidas (direcciones IP de destino) por clasificación de aplicaciones basada en nombre de dominio se restablecen al actualizar la configuración.
  • Solo se procesan las consultas DNS estándar y sus respuestas.
  • Los registros de respuesta DNS divididos en varios paquetes no se procesan. Solo se procesan las respuestas DNS de un solo paquete.
  • No se admite DNS a través de TCP.
  • Solo los dominios de nivel superior se admiten como patrones de nombres de dominio.

Clasificación del tráfico cifrado

El dispositivo Citrix SD-WAN detecta e informa sobre el tráfico cifrado, como parte de los informes de aplicaciones, mediante los dos métodos siguientes:

  • Para el tráfico HTTPS, el motor de PPP inspecciona el certificado SSL para leer el nombre común, que lleva el nombre del servicio (por ejemplo, Facebook, Twitter). Según la arquitectura de la aplicación, solo se puede usar un certificado para varios tipos de servicio (por ejemplo, correo electrónico, noticias, etc.). Si diferentes servicios usan certificados diferentes, el motor de PPP podría diferenciar entre servicios.
  • Para las aplicaciones que utilizan su propio protocolo de cifrado, el motor de DPI busca patrones binarios en los flujos; por ejemplo, en el caso de Skype, el motor de DPI busca un patrón binario dentro del certificado y determina la aplicación.

Para obtener un procedimiento detallado sobre la configuración del tráfico cifrado y la visualización de informes, consulte HDX QoE.

Para configurar los ajustes de clasificación de aplicaciones:

Grupos de aplicaciones

Los grupos de aplicaciones permiten agrupar diferentes tipos de criterios de coincidencia en un único objeto que se puede utilizar en las directivas de firewall y en la gestión de aplicaciones. Protocolo IP, aplicación y familia de aplicaciones son los tipos de coincidencia disponibles.

Las siguientes funciones utilizan grupos de aplicaciones como tipo de coincidencia:

Para obtener más información sobre la creación de grupos de aplicaciones, consulte Grupos de aplicaciones

Clasificación de aplicaciones