Clasificación de aplicaciones
Los dispositivos Citrix SD-WAN realizan una inspección profunda de paquetes (PPP) para identificar y clasificar aplicaciones mediante las siguientes técnicas:
- Clasificación de bibliotecas de PPP
- Clasificación de arquitectura informática independiente (ICA) propiedad de Citrix
- API de proveedores de aplicaciones (por ejemplo, API de REST de Microsoft para Office 365)
- Clasificación de aplicaciones basada en nombres de dominio
Clasificación de bibliotecas de PPP
La biblioteca Deep Packet Inspection (PPP) reconoce miles de aplicaciones comerciales. Permite el descubrimiento y la clasificación de aplicaciones en tiempo real. Mediante la tecnología PPP, el dispositivo SD-WAN analiza los paquetes entrantes y clasifica el tráfico como perteneciente a una aplicación o familia de aplicaciones en particular. La clasificación de aplicaciones para cada conexión requiere algunos paquetes.
Para habilitar la clasificación de bibliotecas de PPP en Citrix SD-WAN Orchestrator Service, consulte Clasificación de bibliotecas de PPP.
Clasificación ICA
Los dispositivos Citrix SD-WAN también pueden identificar y clasificar el tráfico de Citrix HDX para aplicaciones virtuales y escritorios. Citrix SD-WAN reconoce las siguientes variaciones del protocolo ICA:
- ICA
- ICA-CGP
- ICA de flujo único (SSI)
- ICA multisecuencia (MSI)
- ICA a través de TCP
- ICA sobre UDP/EDT
- ICA a través de puertos no estándar (incluida ICA multipuerto)
- Transporte adaptable HDX
- ICA sobre WebSocket (usado por HTML5 Receiver)
Nota
La clasificación del tráfico ICA entregado a través de SSL/TLS o DTLS no se admite en SD-WAN Standard Edition.
La clasificación del tráfico de red se realiza durante las conexiones iniciales o el establecimiento del flujo. Por lo tanto, las conexiones preexistentes no se clasifican como ICA. La clasificación de las conexiones también se pierde cuando la tabla de conexiones se borra manualmente.
El tráfico Framehawk y Audio-over-UDP/RTP no se clasifican como aplicaciones HDX. Se informan como “UDP” o “Protocolo desconocido”.
Desde la publicación 10, versión 1, el dispositivo SD-WAN puede diferenciar cada flujo de datos ICA en ICA multisecuencia, incluso en una configuración de puerto único. Cada secuencia ICA se clasifica como una aplicación independiente con su propia clase QoS predeterminada para la priorización.
Para que la funcionalidad ICA Multi-Stream funcione correctamente, debe tener SD-WAN Standard Edition 10.1 o posterior.
Para que los informes basados en usuarios de HDX se muestren en SDWAN-Center, debe tener SD-WAN Standard Edition 11.0 o posterior.
Requisitos mínimos de software para el canal virtual de información HDX:
Versión actual de Citrix Virtual Apps and Desktops (anteriormente XenApp y XenDesktop), ya que la funcionalidad necesaria se introdujo en XenApp y XenDesktop 7.17 y no está incluida en la versión 7.15 de servicio a largo plazo.
Versión de la aplicación Citrix Workspace (o de su predecesora, Citrix Receiver) que admite ICA multi-stream y el canal virtual de información HDX Insights, CTXNSAP. Busque HDX Insight con NSAP VC y ICA multipuerto/multisecuencia en la tabla de funciones de la aplicación Citrix Workspace. Consulte las versiones de lanzamiento compatibles actualmente en HDX Insights.
A partir de la versión 11.2, la duplicación de paquetes ahora está habilitada de forma predeterminada para el tráfico HDX en tiempo real cuando se usa ICA multisecuencia.
Una vez clasificada, la aplicación ICA se puede utilizar en reglas de aplicación y para ver estadísticas de aplicación similares a otras aplicaciones clasificadas.
Hay cinco reglas de aplicación predeterminadas para las aplicaciones ICA, una cada una para las siguientes etiquetas de prioridad:
- Arquitectura informática independiente (Citrix) (ICA)
- ICA en tiempo real (ica_priority_0)
- ICA interactiva (ica_priority_1)
- Transferencia masiva ICA (ica_prority_2)
- Fondo ICA (ica_priority_3)
Para obtener más información, consulte Reglas por nombre de aplicación
Si está ejecutando una combinación de software que no admite Multi-Stream ICA en un solo puerto, entonces para realizar QoS debe configurar varios puertos, uno para cada secuencia ICA. Para clasificar HDX en puertos no estándar tal y como se configura en la directiva de servidor XA/XD, debe agregar esos puertos en configuraciones de puertos ICA. Además, para hacer coincidir el tráfico en esos puertos con las reglas IP válidas, debe actualizar las reglas IP de ICA.
En la lista IP y puertos ICA puede especificar puertos no estándar utilizados en la directiva XA/XD para procesar la clasificación HDX. La dirección IP se utiliza para restringir aún más los puertos a un destino específico. Use “*” para el puerto destinado a cualquier dirección IP. La dirección IP con combinación de puerto SSL también se utiliza para indicar que el tráfico es probable ICA aunque el tráfico no se clasifique finalmente como ICA. Esta indicación se utiliza para enviar registros L4 AppFlow para admitir informes de saltos múltiples en Citrix Application Delivery Management.
Para habilitar la clasificación basada en ICA en Citrix SD-WAN Orchestrator Service, consulte Clasificación ICA.
Clasificación basada en API de proveedores de aplicaciones
Citrix SD-WAN admite la siguiente clasificación basada en API de proveedor de aplicaciones:
-
Office 365. Para obtener más información, consulte Optimización de Office 365.
-
Servicio Citrix Cloud y Citrix Gateway. Para obtener más información, consulte Optimización de Gateway Service.
Clasificación de aplicaciones basada en nombres de dominio
El motor de clasificación de PPP se ha mejorado para clasificar las aplicaciones en función del nombre de dominio y los patrones. Después de que el reenviador de DNS intercepta y analiza las solicitudes de DNS, el motor PPP utiliza el clasificador de IP para realizar la primera clasificación de paquetes. Se realizan más bibliotecas de PPP y clasificación ICA y se anexa el ID de aplicación basado en nombres de dominio.
La función de aplicación basada en nombres de dominio permite agrupar varios nombres de dominio y tratarlos como una única aplicación. Facilita la aplicación de firewall, dirección de aplicaciones, QoS y otras reglas. Se pueden configurar un máximo de 64 aplicaciones basadas en nombres de dominio.
Para definir aplicaciones basadas en nombres de dominio en Citrix SD-WAN Orchestrator Service, consulte Clasificación de aplicaciones basadas en nombres de dominio.
Nota
A partir de la versión 11.4.2, las aplicaciones basadas en nombres de dominio admiten puertos y protocolos configurables en Citrix SD-WAN Orchestrator Service. Para obtener más información, consulte Dominios y aplicaciones.
A partir de la versión 11.5.0 de Citrix SD-WAN, los registros AAAA son compatibles con Citrix SD-WAN Orchestrator Service.
Limitaciones
- Si no hay solicitud/respuesta DNS correspondiente a una aplicación basada en nombres de dominio, el motor PPP no clasifica la aplicación basada en nombres de dominio y, por lo tanto, no aplica las reglas de aplicación correspondientes a la aplicación basada en nombres de dominio.
- Si se crea un objeto de aplicación de forma que el intervalo de puertos incluya el puerto 80 y/o el puerto 443, con un tipo de coincidencia de dirección IP específico que corresponde a una aplicación basada en nombres de dominio, el motor PPP no clasifica la aplicación basada en nombres de dominio.
- Si se configuran proxies web explícitos, debe agregar todos los patrones de nombres de dominio al archivo PAC, para asegurarse de que la respuesta DNS no siempre devuelve la misma dirección IP.
- Las clasificaciones de aplicaciones basadas en nombres de dominio se restablecen al actualizar la configuración. La reclasificación se realiza en función de las técnicas de clasificación de versiones anteriores a 11.0.2, como la clasificación de bibliotecas PPP, la clasificación ICA y la clasificación basada en API de aplicaciones de proveedores.
- Las firmas de aplicación aprendidas (direcciones IP de destino) por clasificación de aplicaciones basada en nombre de dominio se restablecen al actualizar la configuración.
- Solo se procesan las consultas DNS estándar y sus respuestas.
- Los registros de respuesta DNS divididos en varios paquetes no se procesan. Solo se procesan las respuestas DNS de un solo paquete.
- No se admite DNS a través de TCP.
- Solo los dominios de nivel superior se admiten como patrones de nombres de dominio.
Clasificación del tráfico cifrado
El dispositivo Citrix SD-WAN detecta e informa sobre el tráfico cifrado, como parte de los informes de aplicaciones, mediante los dos métodos siguientes:
- Para el tráfico HTTPS, el motor de PPP inspecciona el certificado SSL para leer el nombre común, que lleva el nombre del servicio (por ejemplo, Facebook, Twitter). Según la arquitectura de la aplicación, solo se puede usar un certificado para varios tipos de servicio (por ejemplo, correo electrónico, noticias, etc.). Si diferentes servicios usan certificados diferentes, el motor de PPP podría diferenciar entre servicios.
- Para las aplicaciones que utilizan su propio protocolo de cifrado, el motor PPP busca patrones binarios en los flujos; por ejemplo, en el caso de Skype, el motor PPP busca un patrón binario dentro del certificado y determina la aplicación.
Objetos de aplicación
Los objetos de aplicación permiten agrupar diferentes tipos de criterios de coincidencia en un solo objeto que se puede utilizar en directivas de firewall y dirección de aplicaciones. Protocolo IP, aplicación y familia de aplicaciones son los tipos de coincidencia disponibles.
Las siguientes funciones utilizan el objeto de aplicación como tipo de coincidencia:
Uso de la clasificación de aplicaciones con un firewall
La clasificación del tráfico como aplicaciones, familias de aplicaciones o nombres de dominio permite utilizar la aplicación, las familias de aplicaciones y los objetos de aplicación como tipos de coincidencia para filtrar el tráfico y aplicar reglas y directivas de firewall. Se aplica a todas las directivas pre, post y local. Para obtener más información sobre el firewall, consulte Firewall con estado y compatibilidad con NAT.
–>
Visualización de Clasificación de Aplicaciones
Después de habilitar la clasificación de aplicaciones, puede ver el nombre de la aplicación y los detalles de la familia de aplicaciones en los siguientes informes:
-
Estadísticas de conexión al firewall
-
Información sobre flujos
-
Estadísticas de aplicación
Estadísticas de conexión de firewall
Vaya a Supervisión > Firewalls. En la sección Conexiones, las columnas Aplicación y Familia muestran las aplicaciones y su familia asociada.
Si no habilita la clasificación de aplicaciones, las columnas Aplicación y Familia no muestran ningún dato.
Información sobre flujos
Vaya a Supervisión > Flujos. En la sección Datos de flujos, la columna Aplicación muestra los detalles de la aplicación.
Estadísticas de aplicación
Vaya a Supervisión > Estadísticas. En la sección Estadísticas de la aplicación, la columna Aplicación muestra los detalles de la aplicación.
Solución de problemas
Después de habilitar la clasificación de aplicaciones, puede ver los informes en la sección Supervisión y asegurarse de que muestran los detalles de la aplicación. Para obtener más información, consulte Visualización de la clasificación de aplicaciones.
Si hay algún comportamiento inesperado, recopile el paquete de diagnóstico STS mientras se observa el problema y compártelo con el equipo de soporte técnico de Citrix.
El paquete STS se puede crear y descargar mediante Configuración > Mantenimiento del sistema > Diagnóstico > Información de diagnóstico.
En este artículo
- Clasificación de bibliotecas de PPP
- Clasificación ICA
- Clasificación basada en API de proveedores de aplicaciones
- Clasificación de aplicaciones basada en nombres de dominio
- Clasificación del tráfico cifrado
- Objetos de aplicación
- Uso de la clasificación de aplicaciones con un firewall
- Visualización de Clasificación de Aplicaciones
- Solución de problemas