Citrix SD-WAN Orchestrator

Paramètres et groupes de l’application

Cette section permet aux utilisateurs de définir des applications personnalisées, de regrouper des applications à utiliser dans des stratégies, des profils QoS et des paramètres DNS.

Vous pouvez définir un groupe d’applications pour les applications prédéfinies et personnalisées. Un groupe d’applications contient des applications qui nécessitent un traitement similaire lors de la définition d’une politique de sécurité.

Vous pouvez réutiliser fréquemment les groupes d’applications lorsque vous définissez des politiques telles que le pilotage des applications ou les règles de pare-feu. Il élimine le besoin de créer plusieurs entrées pour chaque application individuelle. De même, lors de l’utilisation de tous les services d’application, Groupes d’applications prend en charge les applications courantes avec un nom unique pour une réutilisation simplifiée et cohérente.

Pour afficher les groupes d’applications, accédez à Configuration > Paramètres et groupes de l’application.

Domaines et applications

Vous pouvez créer des applications internes basées sur des noms de domaine qui ne figurent pas dans la liste des applications publiées sur la page Domaines et applications . Pour créer des applications basées sur un nom de domaine, au niveau du réseau, accédez à Paramètres et groupes de l’application > Domaines et applications > onglet Applications basées sur un nom de domaine, puis cliquez sur Nouvelle application basée sur un nom de domaine. Entrez le nom de l’application et ajoutez les noms de domaine ou les modèles. Vous pouvez entrer le nom de domaine complet ou utiliser des caractères génériques au début.

Domaines

Toutes les applications basées sur des noms de domaine sont visibles dans le routage des applications, les règles d’applicationet les politiques de pare-feu.

À partir de la version 11.4.2 de Citrix SD-WAN, l’option Configurer les ports est disponible sous Applications basées sur des noms de domaine. Lorsque la case Configurer les ports est cochée, elle permet de configurer un groupe de plusieurs ports, plages de ports et un protocole (TCP/UDP/Any) pour l’application basée sur le domaine.

Auparavant, les ports 80 et 443et le protocole Any étaient pris en charge pour les domaines regroupés dans une application. Vous pouvez voir le même comportement si la case Configurer les ports est désactivée. Par défaut, la case à cocher Configurer les ports est désactivée.

Lorsque vous cochez la case Configurer le port, vous pouvez modifier, ajouter ou supprimer n’importe quel port ou la plage de ports selon les besoins, tout en sélectionnant le protocole TCP, UDP ou N’importe quel. Par défaut, la valeur du protocole est définie sur Any et les ports sont définis sur 80 et 443.

Applications DPI

Vous pouvez également consulter la liste des applications prédéfinies sous l’onglet Applications préclassées . Vous pouvez rechercher une application spécifique à l’aide de la barre de recherche ou filtrer la liste en fonction de la famille d’applications.

Applications DPI

Application personnalisée

Les applications personnalisées sont utilisées pour créer des applications internes ou des combinaisons de ports IP qui ne sont pas disponibles dans la liste des applications publiées. L’administrateur doit définir une application personnalisée basée sur le protocole IP qui peut être utilisée dans plusieurs politiques selon les besoins, sans se référer à chaque fois aux détails de l’adresse IP et du numéro de port.

Pour créer une application personnalisée, au niveau du réseau, accédez à Paramètres et groupes de l’application > Applications personnalisées, cliquez sur + Application personnalisée et entrez un nom pour l’application personnalisée. Spécifiez les critères de correspondance tels que le protocole IP, l’adresse IP réseau, le numéro de port et la balise DSCP. Le flux de données correspondant à ce critère est regroupé en tant qu’application personnalisée.

DNS d'application

Une fois enregistrées, les applications personnalisées apparaissent dans une liste et peuvent être modifiées ou supprimées, selon les besoins.

La case à cocher Activer les rapports est ajoutée pour les applications personnalisées et les groupes d’applications basés sur le protocole IP. Vous devez cocher la case Activer les rapports et indiquer la priorité des rapports.

Lorsque la case Activer les rapports est cochée, vous pouvez consulter le trafic des applications personnalisées IP sous Rapports > Utilisation.

La priorité des rapports est l’ordre dans lequel les applications personnalisées ou les groupes d’applications basés sur le protocole IP sont sélectionnés pour les rapports. Il est utile de choisir l’application personnalisée ou le groupe d’applications à priorité élevée pour les rapports, lorsqu’il existe plusieurs correspondances lorsque la génération de rapports est activée. Par exemple, si la priorité de génération de rapports d’une application personnalisée est définie sur 1, cela signifie que l’application personnalisée obtient la priorité la plus élevée dans les rapports. Alors que si la priorité de reporting est définie sur 100, l’application personnalisée prend une priorité bien moindre en matière de reporting.

Utilisation personnalisée des applications

Remarque

  • Pour que vous puissiez utiliser une application basée sur un nom de domaine, les applications et les domaines doivent être répertoriés comme critères de correspondance lors de la création de l’itinéraire des applications, de la politique de qualité de service et de la politique de pare-feu.
  • Pour que vous puissiez utiliser une application personnalisée, l’ application personnalisée doit être répertoriée comme critère de correspondance lors de la création de l’itinéraire de l’application, de la politique de QoS et de la politique de pare-feu.

Une fois que vous avez créé l’application personnalisée, pour effectuer le routage de l’application, accédez à Routage > Politiques de routage > + Route de l’application, sélectionnez Application personnalisée dans la liste déroulante Type de correspondance . De même, pour l’application basée sur un nom de domaine, sélectionnez Applications et domaines dans la liste déroulante Type de correspondance .

Application personnalisée de routage des applications

Vous pouvez également sélectionner une application basée sur un nom de domaine selon les critères de correspondance lors de la création d’une application personnalisée de protocole IP .

Application personnalisée du protocole IP

De même, pour afficher l’application personnalisée sous les politiques de pare-feu, accédez à Sécurité > Stratégies de pare-feu. L’application peut être utilisée pour tout type de politique (remplacement global/spécifique au site/politiques globales). Cliquez sur Créer une nouvelle règle et, sous Critères de correspondance, sélectionnez Application personnalisée dans la liste déroulante Type de correspondance . Pour afficher l’application basée sur un nom de domaine, sélectionnez Applications et domaines dans la liste déroulante Type de correspondance .

Application personnalisée de profil de pare-feu

Vous pouvez consulter les applications personnalisées basées sur des noms de domaine à la fois sous Règle globale ou Règle spécifique au site/au groupe. Pour afficher les applications basées sur des noms de domaine, accédez à QoS > Politiques de QoS > Règles globales > Règle d’application > + Règled’application, puis sélectionnez l’application basée sur le nom de domaine requise dans la liste déroulante Applications et domaines . Pour afficher les applications personnalisées, accédez à QoS > Politiques de QoS > Règles globales > Règles d’application personnalisées > + Règle d’application personnalisée, puis sélectionnez l’application personnalisée requise dans la liste déroulante des applications personnalisées .

Application personnalisée de règle d'application

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Groupes d’applications

Un groupe d’applications permet aux administrateurs de regrouper des applications similaires afin de les utiliser dans des politiques communes, sans nécessairement avoir à créer une politique pour chaque application individuelle.

Groupe d'applications

Vous pouvez créer un groupe d’applications à l’aide de l’option Ajouter des groupes d’applications . Vous pouvez référer le même groupe d’applications lors de la création d’une stratégie conformément au rôle d’application. La stratégie définie pour le groupe particulier est appliquée à chaque application correspondant à la catégorie spécifique.

Par exemple, vous pouvez créer un groupe d’applications en tant que réseau social et ajouter des réseaux sociaux tels que Facebook, LinkedIn et Twitter au groupe afin de définir certaines politiques pour les applications de réseaux sociaux.

Pour créer un groupe d’applications, spécifiez un nom de groupe, recherchez et ajoutez des applications dans la liste des applications . Vous pouvez toujours revenir en arrière et modifier vos paramètres ou supprimer le groupe d’applications selon vos besoins.

Groupe d'applications

Cliquez sur Vérifier la configuration sur la page Configuration > Paramètres et groupes d’ applications > Groupes d’applications pour valider toute erreur d’audit.

Groupe d'applications

Profils de qualité des applications

Cette section vous permet d’afficher et de créer des profils de qualité d’application.

Profil de qualité de l'application

LaQoE des applications est une mesure de la qualité d’expérience des applications dans le réseau SD-WAN. Il mesure la qualité des applications qui circulent à travers les chemins virtuels entre deux appliances SD-WAN.

Le score QoE de l’application est une valeur comprise entre 0 et 10. La plage de score dans laquelle elle se trouve détermine la qualité d’une application.

Qualité Gamme
Good 8–10
Fair 4–8
Poor 0–4

Le score QoE de l’application peut être utilisé pour mesurer la qualité des applications et identifier les tendances problématiques.

Configuration du profil

Cliquez sur + Profil QoE pour créer un profil QoE, spécifier un nom de profil et sélectionner un type de trafic dans la liste déroulante.

Profil QoE

Configuration en temps réel

Vous pouvez définir les seuils de qualité pour les appliances interactives et en temps réel à l’aide de profils QoE, et mapper ces profils avec des applications ou des objets d’applications.

Le calcul de QoE d’application pour les applications en temps réel utilise une technique innovante Citrix, qui est dérivée du score MOS.

Les valeurs de seuil par défaut sont les suivantes :

  • Seuil de latence (ms) : 160
  • Seuil de gigue (ms) : 30
  • Seuil de perte de paquets ( %) : 2

Un flux d’une application en temps réel qui respecte les seuils de latence, de perte et de gigue est considéré comme de bonne qualité.

La QoE pour les applications en temps réel est déterminée à partir du pourcentage de flux qui atteignent le seuil divisé par le nombre total d’échantillons de flux.

QoE pour temps réel = (Nombre d’échantillons de débit qui atteignent le seuil/Nombre total d’échantillons de débit) * 100

Il est représenté par un score QoE allant de 0 à 10.

Configuration interactive

La QoE des applications pour les applications interactives utilise une technique innovante Citrix basée sur les seuils de perte de paquets et de taux de rafale.

Les applications interactives sont sensibles à la perte de paquets et au débit. Par conséquent, nous mesurons le pourcentage de perte de paquets et le taux d’éclatement du trafic d’entrée et de sortie dans un flux.

Les seuils configurables sont :

  • Pourcentage de perte de paquets.
  • Pourcentage du taux d’éclatement prévu par rapport au taux d’éclatement d’entrée.

Les valeurs de seuil par défaut sont les suivantes :

  • Seuil de perte de paquets : 1%
  • Taux d’éclatement : 60%

Un flux est de bonne qualité si les conditions suivantes sont remplies :

  • Le pourcentage de perte pour un flux est inférieur au seuil configuré.

  • Le taux de rafale de sortie est au moins le pourcentage configuré du taux de rafale d’entrée.

Configuration de la qualité des applications

Mappez des objets d’application ou d’application à des profils QoE par défaut ou personnalisés. Vous pouvez créer des profils QoE personnalisés pour un trafic interactif et en temps réel.

Cliquez sur +Configuration QoE pour créer des profils QoE personnalisés :

  • Type : Sélectionnez l’application DPI ou un objet d’application (application, applications personnalisées et groupes d’applications).
  • Application : recherchez et sélectionnez une application ou un objet d’application en fonction du type sélectionné.
  • Profil QoE : sélectionnez un profil QoE à mapper à l’application ou à l’objet d’application.

Configuration de la qualité de l'application

Cliquez sur Terminé.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Une fois que vous avez configuré la QoE de l’application avec le type d’application personnalisé, une vignette de rapport d’application pertinente est automatiquement générée sous Rapports > Qualité de l’application. Tout trafic correspondant à l’application sélectionnée passe par le chemin virtuel de l’application personnalisée.

Rapport sur la qualité des applications pour les applications personnalisées

Config automatique du proxy

Avec l’adoption croissante d’applications SaaS stratégiques et d’une main-d’œuvre répartie, il devient essentiel de réduire la latence et la congestion. La latence et la congestion sont inhérentes aux méthodes traditionnelles de raccordement du trafic via le centre de données. Citrix SD-WAN permet de router le trafic Internet via le réseau local pour des applications SaaS telles qu’Office 365. Pour plus d’informations, consultez la section Optimisation d’Office 365.

Si des proxys Web explicites sont configurés sur le déploiement d’entreprise, tout le trafic est dirigé vers le proxy Web, ce qui rend difficile la classification et l’accès direct à Internet. La solution consiste à exclure le trafic d’applications SaaS de l’obtention d’un proxy en personnalisant le fichier PAC (Proxy Auto-Config) d’entreprise.

Citrix SD-WAN 11.0 permet de contourner le proxy et de déconnecter Internet local pour le trafic des applications Office 365 en générant et en servant dynamiquement un fichier PAC personnalisé. Le fichier PAC est une fonction JavaScript qui définit si les requêtes du navigateur Web vont directement à la destination ou à un serveur proxy Web.

Fonctionnement de la personnalisation des fichiers PAC

Idéalement, le fichier PAC hôte réseau d’entreprise sur le serveur Web interne, ces paramètres proxy sont distribués via la stratégie de groupe. Le navigateur client demande des fichiers PAC du serveur Web d’entreprise. L’appliance Citrix SD-WAN sert les fichiers PAC personnalisés pour les sites où la panne Office 365 est activée.

Personnalisation des fichiers PAC

  1. Citrix SD-WAN demande et récupère périodiquement la dernière copie du fichier PAC d’entreprise à partir du serveur Web d’entreprise. L’appliance Citrix SD-WAN corrige les URL Office 365 vers le fichier PAC d’entreprise. Le fichier PAC d’entreprise devrait avoir un espace réservé (balise spécifique au SD-WAN) dans lequel les URL Office 365 sont corrigées de façon transparente.

  2. Le navigateur client déclenche une demande DNS pour l’hôte de fichier PAC d’entreprise. Citrix SD-WAN intercepte la demande pour le fichier de configuration du proxy FQDN et répond avec le VIP Citrix SD-WAN.

  3. Le navigateur client demande le fichier PAC. L’appliance Citrix SD-WAN sert le fichier PAC corrigé localement. Le fichier PAC inclut la configuration du proxy d’entreprise et les stratégies d’exclusion d’URL Office 365.

  4. À la réception d’une demande pour l’application Office 365, l’appliance Citrix SD-WAN effectue une sortie Internet directe.

Conditions préalables

  1. Les entreprises doivent disposer d’un fichier PAC hébergé.

  2. Le fichier PAC doit comporter un espace réservé SDWAN_TAG ou une occurrence de la findproxyforurl fonction permettant de patcher les URL d’Office 365.

  3. L’URL du fichier PAC doit être basée sur le domaine et non sur IP.

  4. Le fichier PAC est servi uniquement sur les VIP d’identité approuvés.

  5. L’appliance Citrix SD-WAN doit pouvoir télécharger le fichier PAC d’entreprise via son interface de gestion.

Configurer la configuration automatique du proxy

Dans l’interface utilisateur du service Citrix SD-WAN Orchestrator, au niveau du réseau, accédez à Configuration > Paramètres et groupes de l’application > Configuration automatique du proxy et cliquez sur + profil de fichier PAC.

Configuration automatique du proxy

Entrez un nom pour le profil de fichier PAC, indiquez l’URL du serveur de fichiers PAC d’entreprise. Les règles de présentation d’Office 365 sont appliquées dynamiquement au fichier PAC d’entreprise.

Sélectionnez les sites auxquels le profil de fichier PAC est appliqué. S’il existe différentes URL pour chaque site, créez un profil différent par site.

Limitations

  • Les requêtes du serveur de fichiers PAC HTTPS ne sont pas prises en charge.

  • Plusieurs fichiers PAC dans un réseau ne sont pas pris en charge, y compris les fichiers PAC pour les domaines de routage ou les zones de sécurité.

  • La génération d’un fichier PAC sur Citrix SD-WAN à partir de zéro n’est pas prise en charge.

  • WPAD via DHCP n’est pas pris en charge.

Paramètres DPI

Les appliances Citrix SD-WAN effectuent une inspection approfondie des paquets (DPI) pour identifier et classer les applications. La bibliothèque DPI reconnaît des milliers d’applications commerciales. Il permet la découverte et la classification en temps réel des applications. À l’aide de la technologie DPI, l’appliance SD-WAN analyse les paquets entrants et classe le trafic comme appartenant à une application ou à une famille d’applications particulière.

DPI est activé globalement, par défaut, pour tous les sites de votre réseau. La désactivation de DPI arrête la capacité de classification PPP sur l’appliance. Vous ne pouvez plus utiliser les catégories d’application/applications classées PPP pour configurer des stratégies de pare-feu, de QoS et de routage. Vous ne pourrez pas non plus afficher le rapport sur les applications et les catégories d’applications les plus populaires.

Pour désactiver le DPI global, au niveau du réseau, accédez à Configuration > Paramètres et groupes de l’application > Paramètres DPI et désactivez la case à cocher Activer le DPI global .

Paramètres de l'application

Vous pouvez également choisir de désactiver les PPP pour certains sites uniquement en écrasant les paramètres DPI globaux. Pour désactiver le DPI pour les sites sélectionnés, ajoutez les sites à la liste des remplacements de sites.

Paramètres et groupes de l’application