Documentación de productos
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Ver PDF

Clasificación de aplicaciones

May 7, 2021
Contribución de: 
C

Los dispositivos Citrix SD-WAN identifican y clasifican aplicaciones mediante tres técnicas:

  • Inspección profunda de paquetes (DPI)
  • Protocolo de Arquitectura Informática Independiente (ICA) patentada por Citrix
  • API de proveedores de aplicaciones (por ejemplo, API REST de Microsoft para Office 365)

La biblioteca Deep Packet Inspection (DPI) reconoce miles de aplicaciones comerciales. Esto permite el descubrimiento y la clasificación en tiempo real de las aplicaciones. Mediante la tecnología DPI, el dispositivo SD-WAN analiza los paquetes entrantes y clasifica el tráfico como perteneciente a una aplicación o familia de aplicaciones en particular. La clasificación de aplicaciones para cada conexión requiere algunos paquetes.

Para habilitar la clasificación de bibliotecas de PPP, en el Editor de configuración, vaya a Global > Aplicaciones > Configuración de PPP y active la casilla de verificación Habilitar inspección profunda de paquetes .

Los dispositivos Citrix SD-WAN también pueden identificar y clasificar el tráfico de Citrix HDX para aplicaciones virtuales y escritorios. Citrix SD-WAN reconoce las siguientes variaciones del protocolo ICA:

  • ICA
  • ICA-CGP
  • ICA de flujo único (SSI)
  • ICA multisecuencia (MSI)
  • ICA sobre TCP
  • ICA sobre UDP/EDT
  • ICA sobre puertos no estándar (incluyendo ICA multipuerto)
  • Transporte adaptable HDX
  • ICA sobre WebSocket (utilizado por HTML5 Receiver)

Nota

La clasificación del tráfico ICA de un solo puerto entregado a través de SSL/TLS o DTLS en clases separadas basadas en la etiqueta de prioridad HDX (es decir, las secuencias ICA individuales) no es compatible con SD-WAN Standard Edition, sino con SD-WAN Premium Edition y SD-WAN WANOP Edition.

La clasificación del tráfico de red se realiza durante las conexiones iniciales o el establecimiento del flujo. Por lo tanto, las conexiones preexistentes no se clasifican como ICA. La clasificación de las conexiones también se perderá cuando la tabla de conexiones se borre manualmente.

El tráfico Framehawk y Audio-over-UDP/RTP no se clasifican como aplicaciones HDX. Estos canales virtuales heredados se notifican como «UDP» o «Protocolo desconocido.«

Desde la versión 10 versión 1, SD-WAN Standard Edition puede diferenciar cada flujo de datos ICA en ICA multisecuencia incluso en una configuración de puerto único. Cada secuencia ICA se clasifica como una aplicación independiente con su propia clase QoS predeterminada para la priorización.

Para que la funcionalidad ICA Multi-Stream de un solo puerto funcione correctamente, debe tener:

  • SD-WAN Standard Edition versión 10 versión 1 o superior, o SD-WAN Premium Edition.
  • Versión actual de Citrix Virtual Apps & Desktops (anteriormente XenApp y XenDesktop), ya que la funcionalidad de requisitos previos se introdujo en XenApp y XenDesktop 7.17 y no se incluye en la versión de servicio a largo plazo 7.15.
  • Versión de la aplicación Citrix Workspace (o su predecesora, Citrix Receiver) que admite el canal virtual de información HDX, CTXNSAP. Busque «HDX Insight con NSAP VC» en tabla de funciones de la aplicación Citrix Workspace. Consulte las versiones de versión admitidas actualmente en.Perspectivas de HDX

Una vez clasificada, la aplicación ICA se puede utilizar en reglas de aplicación y para ver estadísticas de aplicación similares a otras aplicaciones clasificadas.

Hay cinco reglas de aplicación predeterminadas para las aplicaciones ICA, una cada una para las siguientes etiquetas de prioridad:

  • ICA
  • ICA en tiempo real (ica_priority_0)
  • ICA Interactive (ica_priority_1)
  • Transferencia masiva ICA (ica_prority_2)
  • Antecedentes ICA (ica_priority_3)
  • Arquitectura informática independiente (Citrix) (ICA)

Para obtener más información, consulte Reglas por nombre de aplicación

Si está ejecutando una combinación de software que no admite Multi-Stream ICA en un solo puerto, entonces para realizar QoS debe configurar varios puertos, uno para cada secuencia ICA.

Para clasificar HDX en puertos no estándar tal y como se configura en la directiva de servidor XenApp y XenDesktop, debe agregar esos puertos en configuraciones de puertos ICA. Además, para hacer coincidir el tráfico en esos puertos con las reglas IP válidas, debe actualizar las reglas IP de ICA.

En la lista IP y puertos ICA puede especificar puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. La dirección IP se utiliza para restringir aún más los puertos a un destino específico. Utilice ‘*’ para el puerto destinado a cualquier dirección IP. La dirección IP con combinación de puerto SSL también se utiliza para indicar que el tráfico es probable ICA aunque el tráfico no se clasifique finalmente como ICA. Esta indicación se utiliza para enviar registros L4 AppFlow para admitir informes de saltos múltiples en Citrix Application Delivery Management.

Para habilitar la clasificación basada en ICA, en el Editor de configuración, vaya a Global > Aplicaciones > Configuración de PPP y active la casilla de verificación Habilitar inspección profunda de paquetes para aplicaciones Citrix ICA .

Clasificación basada en API de proveedores de aplicaciones

Citrix SD-WAN admite la siguiente clasificación basada en API de proveedor de aplicaciones:

Clasificación del tráfico cifrado

El dispositivo Citrix SD-WAN detecta e informa el tráfico cifrado, como parte de los informes de aplicaciones, en los dos métodos siguientes:

  • Para el tráfico HTTPS, el motor DPI inspecciona el certificado SSL para leer el nombre común, que lleva el nombre del servicio (por ejemplo, Facebook, Twitter). Dependiendo de la arquitectura de la aplicación, solo se puede usar un certificado para varios tipos de servicios (por ejemplo, correo electrónico, noticias, etc.). Si diferentes servicios utilizan certificados diferentes, el motor DPI podría diferenciar entre servicios.
  • Para aplicaciones que utilizan su propio protocolo de cifrado, el motor DPI busca patrones binarios en los flujos, por ejemplo, en el caso de Skype, el motor DPI busca un patrón binario dentro del certificado y determina la aplicación.

Para configurar los valores de clasificación de aplicaciones:

  1. En el Editor de configuración, haga clic en Global> Aplicaciones> Configuración.

    Parámetros de la aplicación

    Nota

    Si agrega un puerto ICA adicional para la implementación multipuerto, estos puertos deben agregarse en los clasificadores de aplicaciones de optimización de WAN. De lo contrario, el tráfico en los tres puertos adicionales no se reenvía a WANOP. Solo se reenvía el puerto predeterminado 2598 si ICA está configurado para optimizar.

    Clasificador de aplicaciones WANOP

  2. Seleccione Activar inspección profunda de paquetes. Esto permite la clasificación de aplicaciones en el dispositivo. Puede, ver y supervisar las estadísticas de aplicaciones en SD-WAN Center. Para obtener más información, consulte Informe de aplicación.

    Nota

    De forma predeterminada, Enable Deep Packet Inspection recopila estadísticas de datos clasificados.

  3. Seleccione Habilitar inspección profunda de paquetes para aplicaciones Citrix ICA. Esto permite la clasificación de las aplicaciones ICA de Citrix y recopila estadísticas para los recuentos de usuarios, sesiones y flujos. Sin esta opción activada, es posible que parte del tipo del tráfico HDX aún se clasifique y se calcule QoE, pero las estadísticas sobre SD-WAN Center no están disponibles. Puede, ver y supervisar las estadísticas de aplicaciones ICA en SD-WAN Center. Esta opción está habilitada de forma predeterminada. Para obtener más información, consulte Informes HDX.

  4. Seleccione Habilitar ICA de varias secuencias para permitir varias secuencias ICA en una sesión. Esta opción está inhabilitada de forma predeterminada y solo debe habilitarse para proporcionar QoS por tipo de flujo.

  5. En el puerto ICA DPI, especifique los puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. No incluya los números de puerto estándar 2598 o 1494 en esta lista, ya que estos ya están incluidos internamente.

  6. En DPI ICA IP, especifique la dirección IP que se utilizará para restringir aún más los puertos a un destino específico.

    Nota

    Utilice ‘*’ para el puerto destinado a cualquier dirección IP.

  7. Haga clic en Aplicar

Puede configurar las opciones de clasificación de aplicaciones en cada sitio individualmente. Haga clic en Conexiones, seleccione un sitio y haga clic en Configuración de aplicaciones. También puede optar por utilizar la configuración global de la aplicación.

Buscar aplicaciones

Puede buscar una aplicación para determinar el nombre de familia de la aplicación. También se proporciona una breve descripción de la aplicación.

Para buscar una aplicación:

  1. En el Editor de configuración, haga clic en Global > Aplicaciones > Buscar.

  2. En el campo Buscar, escriba el nombre de la aplicación y haga clic en Intro.

    Aparecerá una breve descripción del nombre de la aplicación y de la familia de aplicaciones.

    Búsqueda de aplicaciones

Las siguientes funciones utilizan la aplicación como un tipo de coincidencia:

Nota

Para obtener información sobre las aplicaciones que el dispositivo SD-WAN puede identificar mediante la inspección profunda de paquetes, consulte Biblioteca de firmas de aplicaciones.

Objetos de aplicación

Los objetos de aplicación permiten agrupar diferentes tipos de criterios de coincidencia en un único objeto que se puede utilizar en directivas de firewall y dirección de aplicaciones. Protocolo IP, aplicación y familia de aplicaciones son los tipos de coincidencia disponibles.

Las siguientes funciones utilizan el objeto de aplicación como un tipo de coincidencia:

Para crear un objeto de aplicación:

  1. En el Editor de configuración, haga clic en Global > Aplicaciones > Objetos de aplicación.

  2. Haga clic en Agregar y, en el campo Nombre, escriba un nombre para el objeto.

    Objetos de aplicación

  3. Seleccione Habilitar informes para habilitar la visualización de informes de aplicaciones personalizadas en Citrix SD-WAN Center. Para obtener más información, consulte Informe de aplicación.

  4. En el campo Prioridad, introduzca la prioridad del objeto de aplicación. Cuando los paquetes entrantes coinciden con dos o más definiciones de objeto de aplicación, se aplica la definición de objeto de aplicación con la prioridad más alta.

  5. Haga clic en + en la sección Criterios de coincidencia de aplicación.

  6. Seleccione uno de los siguientes tipos de coincidencia:

    • Protocolo IP: Especifique el protocolo, la dirección IP de red, el número de puerto y la etiqueta DSCP.
    • Aplicación: Especifique el nombre de la aplicación, la dirección IP de red, el número de puerto y la etiqueta DSCP.
    • Familia de aplicaciones: Seleccione una familia de aplicaciones y especifique la dirección IP de red, el número de puerto y la etiqueta DSCP.

  7. Haga clic en + para agregar más criterios de coincidencia de aplicaciones.

  8. Haga clic en Agregar.

Uso de la clasificación de aplicaciones con un firewall

La clasificación del tráfico como aplicaciones y familias de aplicaciones permite utilizar la aplicación, las familias de aplicaciones y los objetos de aplicación como tipos de coincidencia para filtrar el tráfico y aplicar directivas y reglas de firewall. Esto se aplica a todas las directivas Pre, Post y locales. Para obtener más información acerca del cortafuegos, consulte Soporte de firewall con estado y NAT.

Firewall de clasificación de aplicaciones

Visualización de Clasificación de Aplicaciones

Después de habilitar la clasificación de aplicaciones, puede ver el nombre de la aplicación y los detalles de la familia de aplicaciones en los siguientes informes:

  • Estadísticas de conexión al firewall

  • Información sobre flujos

  • Estadísticas de aplicación

Estadísticas de conexión de firewall

En el Editor de configuración, vaya a Supervisión > Firewall. En la sección Conexiones, las columnas Aplicación y Familia muestran las aplicaciones y su familia asociada.

Conexiones de firewall con clasificación de aplicaciones

Si no habilita la clasificación de aplicaciones, las columnas Aplicación y Familia no muestran ningún dato.

Conexiones de firewall sin clasificación de aplicaciones

Información sobre flujos

En el Editor de configuración, vaya a Supervisión > Flujos. En la sección Datos de flujos, la columna Aplicación muestra los detalles de la aplicación.

Información sobre flujos

Estadísticas de aplicación

En el Editor de configuración, vaya a Supervisión > Estadísticas. En la sección Estadísticas de la aplicación, la columna Aplicación muestra los detalles de la aplicación.

Estadísticas de aplicación

Solucionar problemas

Después de habilitar la clasificación de aplicaciones, puede ver los informes en la sección Supervisión y asegurarse de que muestran los detalles de la aplicación. Para obtener más información, consulte Visualización de Clasificación de Aplicaciones.

Si hay algún comportamiento inesperado, recopile el paquete de diagnóstico STS mientras se observa el problema y compártelo con el equipo de soporte técnico de Citrix.

El paquete STS se puede crear y descargar mediante Configuración > Mantenimiento del sistema > Diagnóstico > Información de diagnóstico.

Clasificación de aplicaciones
May 7, 2021
Contribución de: 
C
May 7, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.