アプリケーション設定とグループ
このセクションでは、アプリケーションをカスタム定義し、ポリシーで使用するアプリケーションのグループ化、QoS プロファイル、および DNS 設定を行うことができます。
アプリケーショングループは、定義済みアプリケーションとカスタムアプリケーションの両方に対して定義できます 。 アプリケーショングループには 、セキュリティポリシーを定義する際に同様の処理が必要なアプリケーションが含まれます。
アプリケーションステアリングやファイアウォールルールなどのポリシーを定義するときに、アプリケーショングループを頻繁に再利用できます 。これにより、個々のアプリケーションに対して複数のエントリを作成する必要がなくなります。同様に、アプリケーションサービスを使用している間、アプリケーショングループは、単純で一貫した再利用のために、一意の名前を持つ共通アプリケーションをサポートします。
アプリケーショングループを表示するには、[ 構成]>[アプリ設定とグループ]に移動します。
ドメインとアプリケーション
ドメインとアプリページの公開アプリケーションのリストにないドメイン名に基づいて内部アプリケーションを作成できます 。ドメイン名に基づいてアプリケーションを作成するには、ネットワークレベルで [ アプリの設定とグループ] > [ドメインとアプリ] > [ドメイン名ベースのアプリ ] タブに移動し、[ 新しいドメイン名ベースのアプリケーション] をクリックします。アプリケーション名を入力し、ドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。
ドメイン名ベースのアプリケーションはすべて、 アプリケーションルーティング、 アプリケーションルール、 およびファイアウォールポリシーに表示されます。
Citrix SD-WAN 11.4.2リリース以降では、「 ドメイン名ベースのアプリケーション 」で「 ポートの構成」チェックボックスオプションが使用できるようになりました。 Configure Ports チェックボックスを有効にすると、ドメインベースのアプリケーション用に複数のポート、ポート範囲、プロトコル (TCP/UDP/任意) のグループを柔軟に設定できます。
以前は、 **ポート80と443、 **およびプロトコルAny は、アプリケーションにグループ化されたドメインでサポートされていました。 Configure Ports チェックボックスをオフにしても、同じ動作になります。デフォルトでは、 ポートの設定チェックボックスは無効になっています 。
Configure Port チェックボックスを選択すると、TCP、UDP、Any などのプロトコル選択に加えて、必要に応じて任意のポートまたはポート範囲を編集、追加、削除できます。デフォルトでは、プロトコル値は Any に設定され、ポートは 80 と 443に設定されます。
事前分類済みアプリタブでは 、事前定義済みのアプリケーションのリストを表示することもできます。 検索バーを使用して特定のアプリケーションを検索したり 、アプリケーションファミリに基づいてリストをフィルタリングしたりできます。
カスタムアプリケーション
カスタムアプリケーションは 、公開アプリケーションのリストにない内部アプリケーションまたはIPポートの組み合わせを作成するために使用されます。管理者は、IPアドレスやポート番号の詳細を毎回参照することなく、必要に応じて複数のポリシーで使用できるIPプロトコルに基づいてカスタムアプリケーションを定義する必要があります。
カスタムアプリケーションを作成するには、ネットワークレベルで [ アプリの設定とグループ] > [カスタムアプリ] に移動し、[ + カスタムアプリケーション ] をクリックしてカスタムアプリケーションの名前を指定します。IP プロトコル、ネットワーク IP アドレス、ポート番号、DSCP タグなどの一致基準を指定します。この条件に一致するデータフローは、カスタムアプリケーションとしてグループ化されます。
保存すると、カスタムアプリケーションがリストに表示され、必要に応じて編集または削除できます。
IP プロトコルベースのカスタムアプリケーションとアプリケーショングループに [ レポートを有効にする ] チェックボックスが追加されました。「 レポートを有効にする 」チェックボックスを選択して、レポートの優先順位を指定する必要があります。
[ レポートを有効にする ] チェックボックスを選択すると、[ レポート ] > [ 使用状況] に IP カスタムアプリケーショントラフィックが表示されます。
レポート優先度は、IP プロトコルベースのカスタムアプリケーションまたはアプリケーショングループがレポート対象として選択される順序です。レポートを有効にして一致するものが複数ある場合は、優先度の高いカスタムアプリケーションまたはレポート作成用のアプリケーショングループを選択すると便利です。たとえば、カスタムアプリケーションのレポート優先度が 1 に設定されている場合、カスタムアプリケーションのレポート優先度が最も高くなります。一方、レポートの優先度が 100 に設定されている場合、カスタムアプリケーションのレポート優先順位はずっと低くなります。
注
- ドメイン名ベースのアプリケーションを使用するには、アプリケーションルート、QoSポリシー、 およびファイアウォールポリシーを作成する際に、アプリとドメインを一致条件としてリストする必要があります 。
- カスタムアプリケーションを使用するには、アプリケーションルート、QoS ポリシー、およびファイアウォールポリシーを作成する際に、 一致基準としてカスタムアプリケーションを指定する必要があります 。
カスタムアプリケーションを作成したら、アプリケーションルーティングを実行するには、[ルーティング] > [ ルーティングポリシー] > [+ アプリケーションルート] に移動し、[ マッチタイプ ] ドロップダウンリストから [ カスタムアプリケーション ] を選択します。同様に、ドメイン名ベースのアプリケーションの場合は、「 マッチタイプ 」ドロップダウンリストから「 アプリとドメイン 」を選択します。
IP プロトコルカスタムアプリケーションを作成するときに 、一致基準に基づいてドメイン名ベースのアプリケーションを選択することもできます。
同様に、 ファイアウォールポリシーの下にカスタムアプリケーションを表示するには、[ セキュリティ] > [ファイアウォールポリシー] に移動します。このアプリケーションは、どのタイプのポリシー(グローバルオーバーライド/サイト固有/グローバルポリシー)にも使用できます。「 新規ルールを作成 」をクリックし、「 一致基準」で、「 一致タイプ 」ドロップダウンリストから「 カスタムアプリケーション 」を選択します。ドメイン名ベースのアプリケーションを表示するには、 マッチタイプドロップダウンリストから 「 アプリとドメイン 」を選択します。
ドメイン名ベースのカスタムアプリケーションは、 グローバルルールまたはサイト/グループ固有ルールの両方で表示できます。ドメイン名ベースのアプリケーションを表示するには、[QoS] > [QoS ポリシー] > [グローバルルール] > [アプリケーションルール] > [+ アプリケーションルール] に移動し、[ アプリケーションとドメイン ] ドロップダウンリストから必要なドメイン名ベースのアプリケーションを選択します。カスタムアプリケーションを表示するには、[ QoS] > [QoS ポリシー] > [グローバルルール] > [カスタムアプリケーションルール] > [+ カスタムアプリケーションルール] に移動し、[カスタムアプリケーション]ドロップダウンリストから必要なカスタムアプリケーションを選択します 。
監査エラーを確認するには、「構成を確認 」をクリックします。
アプリケーショングループ
アプリケーショングループを使用すると 、管理者は類似のアプリケーションをグループ化して共通のポリシーで使用できます。必ずしも個々のアプリケーションごとにポリシーを作成する必要はありません。
アプリケーショングループは、「アプリケーショングループの追加** 」オプションを使用して作成できます。アプリケーションロールごとにポリシーを作成する際に、同じアプリケーショングループを参照できます。特定のグループに対して定義されたポリシーは、特定のカテゴリに一致する各アプリケーションに適用されます。
たとえば、 **ソーシャルネットワーキングとしてアプリケーショングループを作成し** 、Facebook、LinkedIn、Twitter などのソーシャルネットワークをそのグループに追加して、ソーシャルネットワーキングアプリケーションの特定のポリシーを定義できます。
アプリケーショングループを作成するには、グループ名を指定し、 アプリケーションリストからアプリを検索して追加します 。 必要に応じて、いつでも戻って設定を編集したり、 アプリケーショングループを削除したりできます 。
[構成]>[ アプリ設定およびグループ]>[アプリグループ ]ページで[ 構成の検証 ]をクリックして、監査エラーを確認します。
アプリケーション品質プロファイル
このセクションでは、アプリケーション品質プロファイルを表示および作成できます。
アプリケーション QoE は、SD-WAN ネットワーク内のアプリケーションのエクスペリエンス品質の尺度です。2 つの SD-WAN アプライアンス間の仮想パスを通過するアプリケーションの品質を測定します。
アプリケーション QoE スコアは 0 ~ 10 の値です。該当するスコア範囲によって、アプリケーションの品質が決まります。
| 品質 | 範囲 |
|---|---|
| 高 | 8–10 |
| 標準 | 4–8 |
| 低 | 0–4 |
アプリケーションQoEスコアは、アプリケーションの品質を測定し、問題のある傾向を特定するために使用することができます。
プロファイルの設定
+ QoE Profile をクリックして QoE プロファイルを作成し、プロファイル名を指定して、ドロップダウンリストからトラフィックタイプを選択します。
リアルタイム構成
QoE プロファイルを使用して、リアルタイムおよび対話型アプライアンスの品質しきい値を定義し、これらのプロファイルをアプリケーションまたはアプリケーションオブジェクトにマッピングできます。
リアルタイムアプリケーションのアプリケーションQoE計算では、MOSスコアから派生したCitrixの革新的な手法が使用されます。
デフォルトのしきい値は次のとおりです。
- 遅延しきい値(ミリ秒): 160
- ジッタしきい値 (ミリ秒): 30
- パケット損失しきい値(%): 2
遅延、損失、およびジッタに関するしきい値を満たすリアルタイムアプリケーションのフローは、品質が良いと見なされます。
リアルタイムアプリケーションの QoE は、しきい値を満たすフローの割合をフローサンプルの合計数で割った値から決定されます。
リアルタイムの QoE =(しきい値を満たすフローサンプル数/フローサンプルの合計数)* 100
これは、0から10の範囲のQoEスコアとして表されます。
対話型の構成
対話型アプリケーションのアプリケーションQoEでは、パケット損失とバーストレートのしきい値に基づいてCitrixの革新的な技術を使用しています。
対話型アプリケーションは、パケット損失とスループットに影響されます。したがって、フロー内のパケット損失率、および入出力トラフィックのバーストレートを測定します。
設定可能なしきい値は、次のとおりです。
- パケット損失率。
- 入力バーストレートと比較して、予想される出力バーストレートのパーセンテージ。
デフォルトのしきい値は次のとおりです。
- パケット損失しきい値:1%
- バーストレート:60%
次の条件が満たされている場合、フローの品質は良好です。
-
フローの損失の割合は、設定されたしきい値より小さくなります。
-
出力バーストレートは、少なくとも入力バーストレートに設定されたパーセンテージです。
アプリケーション品質の設定
アプリケーションまたはアプリケーションオブジェクトをデフォルトまたはカスタムQoEプロファイルにマッピングします。リアルタイムおよび対話型トラフィック用のカスタム QoE プロファイルを作成できます。
+QoE 設定をクリックして 、カスタム QoE プロファイルを作成します。
- タイプ:DPI アプリケーションまたはアプリケーションオブジェクト (アプリケーション、カスタムアプリ、アプリケーショングループ) を選択します。
- アプリケーション:選択したタイプに基づいて、アプリケーションまたはアプリケーションオブジェクトを検索して選択します。
- QoE プロファイル:アプリケーションまたはアプリケーションオブジェクトにマッピングする QoE プロファイルを選択します。
[完了] をクリックします。
監査エラーを確認するには、「構成を確認 」をクリックします。
カスタムアプリケーションタイプを使用してアプリケーション QoE を設定すると、関連するアプリケーションレポートタイルが [レポート] > [アプリケーション品質] の下に自動生成されます。選択したアプリケーションと一致するトラフィックはすべて、カスタムアプリケーションの仮想パスを経由します。
プロキシ自動設定
ミッションクリティカルなSaaSアプリケーションと分散型ワークフォースの企業導入の増加に伴い、レイテンシーと輻輳を低減することが非常に重要になります。レイテンシーと輻輳は、データセンターを通過するトラフィックをバックホールする従来の方法に固有のものです。Citrix SD-WANでは、Office 365などのSaaSアプリケーションを直接インターネットから抜け出すことができます。詳細については、「 Office 365 の最適化」を参照してください。
企業展開で明示的な Web プロキシが設定されている場合、すべてのトラフィックが Web プロキシに誘導されるため、分類や直接インターネットブレイクアウトが難しくなります。解決策は、エンタープライズ PAC (Proxy Auto-Config) ファイルをカスタマイズすることによって、SaaS アプリケーショントラフィックがプロキシされないようにすることです。
Citrix SD-WAN 11.0では、カスタムPACファイルを動的に生成して提供することで、Office 365アプリケーショントラフィックのプロキシバイパスとローカルインターネットブレークアウトが可能になります。PAC ファイルは、Web ブラウザーの要求が送信先に直接送信されるか、Web プロキシサーバーに送信されるかを定義する JavaScript 関数です。
PAC ファイルのカスタマイズの仕組み
理想的には、内部Webサーバー上のエンタープライズネットワークホストPACファイル、これらのプロキシ設定はグループポリシーを介して配布されます。クライアントブラウザは、エンタープライズ Web サーバから PAC ファイルを要求します。Citrix SD-WANアプライアンスは、Office 365ブレークアウトが有効なサイト用にカスタマイズされたPACファイルを提供します。
-
Citrix SD-WANは、エンタープライズWebサーバーからエンタープライズPACファイルの最新のコピーを定期的に要求し、取得します。Citrix SD-WANアプライアンスは、オフィス365のURLをエンタープライズPACファイルにパッチします。エンタープライズ PAC ファイルには、Office 365 の URL にシームレスにパッチが適用されるプレースホルダ (SD-WAN 固有のタグ) が必要です。
-
クライアントブラウザーは、エンタープライズ PAC ファイルホストの DNS 要求を生成します。Citrix SD-WANは、プロキシ構成ファイルFQDNに対する要求を代行受信し、Citrix SD-WAN VIPに応答します。
-
クライアントブラウザが PAC ファイルを要求します。Citrix SD-WANアプライアンスは、パッチが適用されたPACファイルをローカルで提供します。PAC ファイルには、エンタープライズプロキシ構成と Office 365 の URL 除外ポリシーが含まれています。
-
Office 365アプリケーションに対する要求を受信すると、Citrix SD-WAN アプライアンスは直接インターネットブレークアウトを実行します。
前提条件
-
企業は PAC ファイルをホストする必要があります。
-
PAC ファイルには、プレースホルダー SDWAN_TAG か、Office 365 の URL にパッチを適用する
findproxyforurl関数が 1 つ存在する必要があります。 -
PAC ファイルの URL は、IP ベースではなく、ドメインベースである必要があります。
-
PAC ファイルは、信頼されたアイデンティティ VIP を介してのみ提供されます。
-
Citrix SD-WAN アプライアンスは、管理インターフェイス経由でエンタープライズPACファイルをダウンロードできる必要があります。
プロキシ自動設定の構成
Citrix SD-WAN OrchestratorサービスUIのネットワークレベルで、[ 構成 ]>[ アプリ設定とグループ ]>[ プロキシ自動構成 ]に移動し、[ + PACファイルプロファイル]をクリックします。
PAC ファイルプロファイルの名前を入力し、エンタープライズ PAC ファイルサーバの URL を指定します。Office 365 ブレークアウトルールは、エンタープライズ PAC ファイルに動的に修正されます。
PAC ファイルプロファイルを適用するサイトを選択します。サイトごとに異なる URL がある場合は、サイトごとに異なるプロファイルを作成します。
制限事項
-
HTTPS PAC ファイルサーバー要求はサポートされていません。
-
ルーティングドメインまたはセキュリティゾーンの PAC ファイルなど、ネットワーク内の複数の PAC ファイルはサポートされません。
-
Citrix SD-WAN でのPACファイルのゼロからの生成はサポートされていません。
-
DHCP 経由の WPAD はサポートされていません。
DPI設定
Citrix SD-WAN アプライアンスは、ディープパケットインスペクション(DPI)を実行して、アプリケーションを識別して分類します。DPIライブラリは、何千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。
DPI は、ネットワーク内のすべてのサイトで、既定でグローバルに有効になっています。DPI を無効にすると、アプライアンスの DPI 分類機能が停止します。DPI 分類アプリケーション/アプリケーションカテゴリを使用して、ファイアウォール、QoS、およびルーティングポリシーを設定できなくなりました。また、上位アプリケーションおよびアプリケーションカテゴリレポートも表示できません。
グローバルDPIを無効にするには、ネットワークレベルで、[ 構成]>[アプリ設定とグループ]>[DPI設定] に移動し、[ グローバルDPIを有効にする ]チェックボックスをオフにします。
グローバルな DPI 設定をオーバーライドして、特定のサイトの DPI を無効にするように選択することもできます。選択したサイトの DPI を無効にするには、 サイトオーバーライドリストにサイトを追加します 。