Citrix SD-WAN Orchestrator

アプリケーション分類

Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。

  • DPI ライブラリの分類
  • Citrix 独自の独立コンピューティングアーキテクチャ(ICA)分類
  • アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
  • ドメイン名ベースのアプリケーション分類

DPI ライブラリの分類

ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。

DPI は、ネットワーク内のすべてのサイトで、既定でグローバルに有効になっています。DPI を無効にすると、アプライアンスの DPI 分類機能が停止します。DPI 分類アプリケーション/アプリケーションカテゴリを使用して、ファイアウォール、QoS、およびルーティングポリシーを設定できなくなりました。また、上位アプリケーションおよびアプリケーションカテゴリレポートも表示できません。

グローバルDPIを無効にするには、ネットワークレベルで、[ 構成 ]>[ アプリ設定とグループ ]>[ DPI設定] に移動し、[ グローバルDPIを有効にする ]チェックボックスをオフにします。

DPI ライブラリ分類を有効にするには、 構成エディタで、[ グローバル] > [アプリケーション] > [DPI 設定 ] に移動し、[ ディープパケットインスペクションを有効にする ] チェックボックスをオンにします。

DPI 設定

ICAの分類

Citrix SD-WANアプライアンスでは、Virtual Apps and DesktopsのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。

  • ICA
  • ICA-CGP
  • シングルストリームICA(SSI)
  • マルチストリームICA(MSI)
  • TCP経由のICA
  • ICAオーバーUDP/EDT
  • 非標準ポート経由のICA(マルチポートICAを含む)
  • HDX アダプティブ トランスポート
  • WebSocket経由のICA(HTML5レシーバで使用)

SSL/TLSまたはDTLS 経由で配信されるICAトラフィックの分類は、SD-WAN Standard Editionではサポートされませんが、SD-WAN Premium EditionとSD-WAN WANOP Editionではサポートされます。

ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。

FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。

リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。

  • マルチストリーム ICA 機能を正しく動作させるには、SD-WAN Standard Edition 10.1以降、または SD-WAN Premium Editionを使用してください。

  • HDXユーザーベースのレポートをSDWAN-Centerで表示するには、SD-WANStandard Edition またはPremium Edition 11.0以降を使用してください。

HDX情報仮想チャネルの最小ソフトウェア要件:

  • Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。

  • マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。 Citrix Workspace アプリの機能マトリックスで、NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insightを探します。現在サポートされているリリースバージョンについては、 HDX Insightsを参照してください。

  • 11.2以降のリリースでは、マルチストリームICAが使用中のHDXリアルタイムトラフィックでパケットの複製がデフォルトで有効になりました。

分類されると、ICAアプリケーションをアプリケーションルールで使用したり、他の分類済みアプリケーションと同様のアプリケーション統計を表示したりできます。

ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。

  • 独立コンピューティングアーキテクチャ(Citrix)(ICA)
  • ICA リアルタイム (ica_priority_0)
  • ICAインタラクティブ (ica_priority_1)
  • ICAバルクトランスファー (ica_prority_2)
  • ICAの背景 (ica_priority_3)

詳細については、「 アプリケーション名別のルール」を参照してください。

マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。

ICA IPとポートリストで、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレス宛てのポートには ‘*’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。

ICA分類の有効化について詳しくは、「 HDX QoE構成」を参照してください。

ICA 行動マトリックス

  MCN Orchestartor サービス
ICA オン オン
MSI オン オフ
HDX レポート オン オフ
アプリケーションQoE 未構成 未構成

アプリケーションベンダー API ベースの分類

Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。

ドメイン名ベースのアプリケーション分類

DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析した後、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。

ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。

ドメイン名ベースのアプリケーションを定義するには、ネットワークレベルで [ アプリの設定とグループ] > [ **ドメインとアプリ** ] > [ ドメイン名ベースのアプリ] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。次のドメイン名の形式を使用できます。

  • example.com
  • *.example.com

ドメイン名ベースのアプリケーション

分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。

Citrix SD-WAN 11.5以降では、IPv6およびAAAAレコードがサポートされます。

制限事項

  • ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
  • ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
  • 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
  • ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
  • ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
  • 標準 DNS クエリとその応答のみが処理されます。
  • 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
  • TCP 経由の DNS はサポートされていません。
  • ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。

暗号化されたトラフィックの分類

Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。

  • HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。サービスによって使用する証明書が異なる場合、DPI エンジンはサービスを区別できます。
  • 独自の暗号化プロトコルを使用するアプリケーションの場合、DPIエンジンはフロー内のバイナリパターンを探します。たとえば、Skypeの場合、DPIエンジンは証明書内のバイナリパターンを探してアプリケーションを決定します。

暗号化されたトラフィックの構成とレポートの表示の詳細な手順については、 HDX QoEを参照してください

アプリケーション分類設定を構成するには、次の手順に従います。

アプリケーショングループ

アプリケーショングループを使用すると、さまざまなタイプの一致基準を 1 つのオブジェクトにグループ化して、ファイアウォールポリシーやアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。

次の機能では、アプリケーショングループをマッチタイプとして使用します。

アプリケーショングループの作成について詳しくは、 アプリケーショングループを参照してください

アプリケーション分類