Classification des demandes
Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (DPI) pour identifier et classer les applications à l’aide des techniques suivantes :
- Classification de la bibliothèque DPI
- Classification ICA (Independent Computing Architecture) propriétaire Citrix
- API fournisseur d’applications (par exemple, API REST Microsoft pour Office 365)
- Classification d’application basée sur un nom de domaine
Classification de la bibliothèque DPI
La bibliothèque Deep Packet Inspection (DPI) reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière.
DPI est activé globalement, par défaut, pour tous les sites de votre réseau. La désactivation de DPI arrête la capacité de classification PPP sur l’appliance. Vous ne pouvez plus utiliser les catégories d’application/applications classées PPP pour configurer des stratégies de pare-feu, de QoS et de routage. Vous ne pourrez pas non plus afficher le rapport sur les applications et les catégories d’applications les plus populaires.
Pour désactiver le DPI global, au niveau du réseau, accédez à Configuration > Paramètres et groupes de l’application > Paramètres DPI et désactivez la case à cocher Activer le DPI global .
Pour activer la classification des bibliothèques PPP, dans l’ Éditeur de configuration, accédez à Global > Applications > Paramètres PPP et activez la case à cocher Activer l’inspection approfondie des paquets .
Classification ICA
Les appliances Citrix SD-WAN peuvent également identifier et classer le trafic Citrix HDX pour les applications et les bureaux virtuels. Citrix SD-WAN reconnaît les variantes suivantes du protocole ICA :
- ICA
- ICA-CGP
- ICA à flux unique (SSI)
- ICA multiflux (MSI)
- ICA sur TCP
- L’ICA sur l’UDP/EDT
- ICA sur les ports non standard (y compris ICA multi-ports)
- Transport adaptatif HDX
- ICA sur WebSocket (utilisé par le récepteur HTML5)
Remarque
La classification du trafic ICA livré via SSL/TLS ou DTLS n’est pas prise en charge par SD-WAN Standard Edition, mais est prise en charge par SD-WAN Premium Edition et SD-WAN WANOP Edition.
La classification du trafic réseau se fait au cours des connexions initiales ou de l’établissement du flux. Par conséquent, les connexions préexistantes ne sont pas classées comme ICA. La classification des connexions est également perdue lorsque la table de connexion est effacée manuellement.
Le trafic Framehawk et l’Audio-over-UDP/RTP ne sont pas classés comme des applications HDX. Ils sont signalés comme « UDP » ou « protocole inconnu ».
Depuis la version 10 version 1, l’appliance SD-WAN peut différencier chaque flux de données ICA dans l’ICA multi-flux, même dans une configuration monoport. Chaque flux ICA est classé comme une application distincte avec sa propre classe QoS par défaut pour la hiérarchisation.
Pour que la fonctionnalité Multi-Stream ICA fonctionne correctement, utilisez le SD-WAN Standard Edition 10.1 ou supérieur, ou le SD-WAN Premium Edition.
Pour afficher des rapports HDX basés sur les utilisateurs sur SDWAN-Center, utilisez SD-WAN Standard Edition ou Premium Edition 11.0 ou une version ultérieure.
Configuration logicielle minimale requise pour le canal virtuel d’information HDX :
Une version actuelle de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop), puisque la fonctionnalité requise a été introduite dans XenApp et XenDesktop 7.17 et n’est pas incluse dans la version de service à long terme 7.15.
Version de l’application Citrix Workspace (ou de son prédécesseur, Citrix Receiver) prenant en charge l’ICA multi-flux et le canal virtuel d’informations HDX Insights, CTXNSAP. Recherchez HDX Insight avec NSAP VC et ICA multiport/multi-flux dans la matrice des fonctionnalités de l’application Citrix Workspace. Consultez les versions actuellement prises en charge sur HDX Insights.
À partir de la version 11.2, la duplication des paquets est désormais activée par défaut pour le trafic HDX en temps réel lorsque l’ICA multiflux est en cours d’utilisation.
Une fois classée, l’application ICA peut être utilisée dans les règles d’application et pour afficher des statistiques de demande semblables à celles d’autres applications classifiées.
Il existe cinq règles d’application par défaut pour les applications ICA, une pour chacune des balises de priorité suivantes :
- Architecture informatique indépendante (Citrix) (ICA)
- ICA en temps réel (ica_priority_0)
- ICA Interactive (ica_priority_1)
- Transfert en bloc ICA (ica_prority_2)
- Contexte ICA (ica_priority_3)
Pour plus d’informations, consultez la section Règles par nom d’application
Si vous exécutez une combinaison de logiciels qui ne prennent pas en charge l’ICA Multi-Stream sur un seul port, alors pour effectuer la QoS, vous devez configurer plusieurs ports, un pour chaque flux ICA. Pour classer HDX sur des ports non standard comme configurés dans la stratégie de serveur XA/XD, vous devez ajouter ces ports dans les configurations de ports ICA. En outre, pour faire correspondre le trafic sur ces ports à des règles IP valides, vous devez mettre à jour les règles IP ICA.
Dans ICA IP et liste de ports, vous pouvez spécifier les ports non standard utilisés dans la stratégie XA/XD pour traiter la classification HDX. L’adresse IP est utilisée pour restreindre davantage les ports à une destination spécifique. Utilisez ‘*’ pour le port destiné à n’importe quelle adresse IP. L’adresse IP avec une combinaison de port SSL est également utilisée pour indiquer que le trafic est probablement ICA même si le trafic n’est pas finalement classé comme ICA. Cette indication est utilisée pour envoyer des enregistrements AppFlow L4 pour prendre en charge les rapports multi-sauts dans Citrix Application Delivery Management.
Pour plus d’informations sur l’activation de la classification ICA, voir Configuration HDX QoE
Matrice comportementale
MCN | Service d’orchestre | |
---|---|---|
ICA | Activé | Activé |
MSI | Activé | Off |
Rapports HDX | Activé | Off |
QoE des applications | Non configuré | Non configuré |
Classification basée sur l’API du fournisseur d’applications
Citrix SD-WAN prend en charge la classification basée sur l’API du fournisseur d’applications suivante :
-
Office 365. Pour plus d’informations, consultez la section Optimisation d’Office 365.
-
Service Citrix Cloud et Citrix Gateway. Pour plus d’informations, consultez la section Gateway Service Optimization.
Classification d’application basée sur un nom de domaine
Le moteur de classification DPI est amélioré pour classer les applications en fonction du nom de domaine et des modèles. Une fois que le redirecteur DNS intercepte et analyse les requêtes DNS, le moteur DPI utilise le classificateur IP pour effectuer la première classification de paquets. D’autres bibliothèques DPI et la classification ICA sont effectuées et l’ID d’application basé sur le nom de domaine est ajouté.
La fonctionnalité d’application basée sur un nom de domaine vous permet de regrouper plusieurs noms de domaine et de les traiter comme une seule application. Faciliter l’application du pare-feu, de la direction des applications, de la qualité de service et d’autres règles. Un maximum de 64 applications basées sur des noms de domaine peuvent être configurées.
Pour définir des applications basées sur des noms de domaine, au niveau du réseau, accédez à Paramètres et groupes des applications > Domaines et applications > Applicationsbasées sur des noms de domaine. Entrez un nom d’application et ajoutez les noms de domaine ou les modèles requis. Vous pouvez entrer le nom de domaine complet ou utiliser des caractères génériques au début. Les formats de noms de domaine suivants sont autorisés :
- exemple.com
- *.exemple.com
Les applications basées sur un nom de domaine classifié sont utilisées pour configurer les éléments suivants :
- Proxy DNS
- Transparent DNS
- Objets d’application
- Itinéraires d’application
- Stratégie de pare-feu
- Règles QoS d’application
- QoE des applications
Remarque
À partir de Citrix SD-WAN 11.5, les enregistrements IPv6 et AAAA sont pris en charge.
Limitations
- S’il n’y a pas de requête/réponse DNS correspondant à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine et n’applique donc pas les règles d’application correspondant à l’application basée sur un nom de domaine.
- Si un objet Application est créé de telle sorte que la plage de ports inclut le port 80 et/ou le port 443, avec un type de correspondance d’adresse IP spécifique qui correspond à une application basée sur un nom de domaine, le moteur DPI ne classe pas l’application basée sur un nom de domaine.
- Si des proxys Web explicites sont configurés, vous devez ajouter tous les modèles de noms de domaine au fichier PAC, pour vous assurer que la réponse DNS ne renvoie pas toujours la même adresse IP.
- Les classifications d’applications basées sur un nom de domaine sont réinitialisées lors de la mise à niveau de Le reclassement se fait en fonction des techniques de classification antérieures à la version 11.0.2, telles que la classification de la bibliothèque DPI, la classification ICA et la classification basée sur les API d’application fournisseur.
- Les signatures d’application apprises (adresses IP de destination) par classification d’application basée sur un nom de domaine sont réinitialisées lors de la mise à jour de configuration.
- Seules les requêtes DNS standard et leurs réponses sont traitées.
- Les enregistrements de réponse DNS répartis sur plusieurs paquets ne sont pas traités. Seules les réponses DNS dans un seul paquet sont traitées.
- DNS sur TCP n’est pas pris en charge.
- Seuls les domaines de premier niveau sont pris en charge en tant que modèles de noms de domaine.
Classement du trafic chiffré
L’appliance Citrix SD-WAN détecte et signale le trafic chiffré, dans le cadre des rapports d’application, selon les deux méthodes suivantes :
- Pour le trafic HTTPS, le moteur DPI inspecte le certificat SSL pour lire le nom commun, qui porte le nom du service (par exemple - Facebook, Twitter). Selon l’architecture de l’application, un seul certificat peut être utilisé pour plusieurs types de services (par exemple, e-mail, news, etc.). Si différents services utilisent des certificats différents, le moteur DPI serait en mesure de différencier les services.
- Pour les applications qui utilisent leur propre protocole de cryptage, le moteur DPI recherche des modèles binaires dans les flux. Par exemple, dans le cas de Skype, le moteur DPI recherche un modèle binaire dans le certificat et détermine l’application.
Pour une procédure détaillée sur la configuration du trafic crypté et l’affichage des rapports, voir HDX QoE.
Pour configurer les paramètres de classification des applications :
Groupes d’applications
Les groupes d’applications vous permettent de regrouper différents types de critères de correspondance en un seul objet qui peut être utilisé dans les politiques de pare-feu et le pilotage des applications. Le protocole IP, l’application et la famille d’applications sont les types de correspondance disponibles.
Les fonctionnalités suivantes utilisent les groupes d’applications comme type de correspondance :
Pour plus d’informations sur la création de groupes d’applications, voir Groupes d’applications