This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
アプリケーション分類
Citrix SD-WANアプライアンスは、ディープ・パケット・インスペクション(DPI)を実行して、次の手法を使用してアプリケーションを識別および分類します。
- DPI ライブラリの分類
- シトリックス独自の独立コンピューティングアーキテクチャ(ICA)分類
- アプリケーションベンダー API (たとえば、Office 365 用の Microsoft REST API)
- ドメイン名ベースのアプリケーション分類
DPI ライブラリの分類
ディープパケットインスペクション (DPI) ライブラリは、数千もの商用アプリケーションを認識します。これにより、アプリケーションのリアルタイムの検出とクラス分けが可能になります。SD-WAN アプライアンスは DPI テクノロジーを使用して、着信パケットを分析し、トラフィックを特定のアプリケーションまたはアプリケーションファミリに属するものとして分類します。各接続のアプリケーション分類には、数個のパケットが必要です。
DPI ライブラリ分類を有効にするには、 構成エディタで、[ グローバル] > [アプリケーション] > [DPI 設定 ] に移動し、[ ディープパケットインスペクションを有効にする ] チェックボックスをオンにします。
ICAの分類
Citrix SD-WANアプライアンスでは、Virtual Apps and DesktopsのCitrix HDXトラフィックを識別および分類することもできます。Citrix SD-WANは、ICAプロトコルの次のバリエーションを認識します。
- ICA
- ICA-CGP
- シングルストリームICA(SSI)
- マルチストリームICA(MSI)
- TCP経由のICA
- ICAオーバーUDP/EDT
- 非標準ポート経由のICA(マルチポートICAを含む)
- HDX アダプティブ トランスポート
- WebSocket経由のICA(HTML5レシーバで使用)
注
SSL/TLSまたはDTLS 経由で配信されるICAトラフィックの分類は、SD-WAN Standard Editionではサポートされませんが、SD-WAN Premium EditionとSD-WAN WANOP Editionではサポートされます。
ネットワークトラフィックの分類は、初期接続またはフロー確立時に行われます。したがって、既存の接続はICAに分類されません。接続テーブルを手動でクリアすると、接続の分類も失われます。
FramehawkトラフィックとオーディオオーバーUDP/RTPは、HDXアプリケーションには分類されません。「UDP」または「不明なプロトコル」のいずれかとして報告されます。
リリース10バージョン1以降、SD-WANアプライアンスは、シングルポート構成であっても、マルチストリームICAの各ICAデータストリームを区別することができます。各ICAストリームは、優先順位付けのための独自のデフォルトQoSクラスを持つ個別のアプリケーションとして分類されます。
マルチストリームICA機能を正しく動作させるには、SD-WANStandard Edition10.1以降、またはSD-WAN Premium Editionが必要です。
SDWAN-CenterでHDXユーザーベースのレポートを表示するには、SD-WANStandard EditionまたはPremium Edition 11.0以降が必要です。
HDX情報仮想チャネルの最小ソフトウェア要件:
Citrix Virtual Apps and Desktops(以前のXenAppおよびXenDesktop)の最新リリース。前提条件となる機能がXenAppおよびXenDesktop 7.17で導入され、7.15長期サービスリリースには含まれていないためです。
マルチストリームICAおよびHDXインサイト情報仮想チャネルCTXNSAPをサポートするCitrix Workspace アプリ(またはその前身であるCitrix Receiver)のバージョン。Citrix Workspaceアプリの機能マトリックスで、 NSAP VCおよびマルチポート/マルチストリームICAを使用したHDX Insight を探します。現在サポートされているリリースバージョンについては、HDXインサイトを参照してください。
11.2以降のリリースでは、マルチストリームICAが使用中のHDXリアルタイムトラフィックでパケットの複製がデフォルトで有効になりました。
分類されると、ICAアプリケーションをアプリケーションルールで使用したり、他の分類済みアプリケーションと同様のアプリケーション統計を表示したりできます。
ICAアプリケーションには、以下の優先順位タグに対して5つのデフォルトのアプリケーションルールがあります。
- 独立コンピューティングアーキテクチャ(Citrix)(ICA)
- ICA リアルタイム (ica_priority_0)
- ICAインタラクティブ (ica_priority_1)
- ICAバルクトランスファー (ica_prority_2)
- ICAの背景 (ica_priority_3)
詳しくは、「アプリケーション名による規則」を参照してください。
マルチストリームICAをサポートしていないソフトウェアを1つのポート上で組み合わせて実行している場合、QoSを実行するには、ICAストリームごとに1つずつ、複数のポートを設定する必要があります。 XA/XDサーバーポリシーで構成された非標準ポートでHDXを分類するには、これらのポートをICAポート構成に追加する必要があります。また、これらのポートのトラフィックを有効なIPルールに一致させるには、ICA IPルールを更新する必要があります。
ICA IPとポートリストで、XA/XDポリシーで使用する非標準ポートを指定して、HDX分類を処理できます。IP アドレスは、ポートを特定の宛先にさらに制限するために使用されます。任意の IP アドレス宛てのポートには ‘*’ を使用します。SSLポートを組み合わせたIPアドレスは、トラフィックが最終的にICAに分類されない場合でも、トラフィックがICAである可能性が高いことを示すためにも使用されます。この表示は、Citrix Application Delivery Management でマルチホップレポートをサポートするためにL4 AppFlow レコードを送信するために使用されます。
ICAベースの分類を有効にするには、 構成エディタで[ グローバル]>[アプリケーション]>[DPI設定 ]に移動し、 [Citrix ICAアプリケーションのディープパケットインスペクションを有効にする ]チェックボックスをオンにします。
アプリケーションベンダー API ベースの分類
Citrix SD-WANでは、次のアプリケーションベンダーAPIベースの分類がサポートされています。
-
Office 365。詳しくは、「Office 365 の最適化」を参照してください。
-
Citrix CloudおよびCitrix Gateway サービス。詳しくは、「ゲートウェイサービスの最適化」を参照してください。
ドメイン名ベースのアプリケーション分類
DPI 分類エンジンが拡張され、ドメイン名とパターンに基づいてアプリケーションを分類できるようになりました。DNS フォワーダが DNS 要求を代行受信して解析した後、DPI エンジンは IP 分類子を使用して最初のパケット分類を実行します。さらにDPIライブラリとICA分類が行われ、ドメイン名ベースのアプリケーションIDが追加されます。
ドメイン名ベースのアプリケーション機能を使用すると、複数のドメイン名をグループ化し、単一のアプリケーションとして扱うことができます。ファイアウォール、アプリケーションステアリング、QoS、およびその他のルールを簡単に適用できます。最大 64 のドメイン名ベースのアプリケーションを構成できます。
ドメイン名ベースのアプリケーションを定義するには、構成エディタで [ グローバル ] > [ アプリケーション ] > [ ドメイン名ベースのアプリケーション] に移動します。アプリケーション名を入力し、必要なドメイン名またはパターンを追加します。完全なドメイン名を入力することも、先頭にワイルドカードを使用することもできます。次のドメイン名の形式を使用できます。
- example.com
- *.example.com
分類されたドメイン名ベースのアプリケーションは、次の設定に使用されます。
制限事項
- ドメイン名ベースのアプリケーションに対応する DNS 要求/応答がない場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しないため、ドメイン名ベースのアプリケーションに対応するアプリケーションルールを適用しません。
- ポート範囲にポート 80 および/またはポート 443 が含まれ、ドメイン名ベースのアプリケーションに対応する特定の IP アドレス一致タイプが含まれるようにアプリケーションオブジェクトが作成された場合、DPI エンジンはドメイン名ベースのアプリケーションを分類しません。
- 明示的な Web プロキシが設定されている場合は、DNS 応答が必ず同じ IP アドレスを返すとは限らないように、すべてのドメイン名パターンを PAC ファイルに追加する必要があります。
- ドメイン名ベースのアプリケーション分類は、設定のアップグレード時にリセットされます。再分類は、DPIライブラリ分類、ICA分類、ベンダーアプリケーションAPIベースの分類など、11.0.2以前のリリース分類手法に基づいて行われます。
- ドメイン名ベースのアプリケーション分類によって学習されたアプリケーションシグニチャ(宛先 IP アドレス)は、設定の更新時にリセットされます。
- 標準 DNS クエリとその応答のみが処理されます。
- AAAA レコードまたは IPv6 レコードはサポートされていません。
- 複数のパケットに分割された DNS 応答レコードは処理されません。単一のパケット内の DNS 応答のみが処理されます。
- TCP 経由の DNS はサポートされていません。
- ドメイン名のパターンとしてサポートされるのは、トップレベルドメインのみです。
暗号化されたトラフィックの分類
Citrix SD-WANアプライアンスは、アプリケーションレポートの一部として暗号化されたトラフィックを次の2つの方法で検出してレポートします。
- HTTPS トラフィックの場合、DPI エンジンは SSL 証明書を検査して、サービスの名前 (たとえば Facebook、Twitter) を含む共通名を読み取ります。アプリケーションアーキテクチャによっては、複数のサービスタイプ (たとえば、電子メール、ニュースなど) に 1 つの証明書だけが使用されることがあります。異なるサービスで異なる証明書を使用する場合、DPI エンジンはサービスを区別できます。
- 独自の暗号化プロトコルを使用するアプリケーションの場合、DPI エンジンはフロー内のバイナリパターンを検索します。たとえば、Skype の場合、DPI エンジンは証明書内のバイナリパターンを検索し、アプリケーションを決定します。
アプリケーション分類設定を構成するには、次の手順に従います。
-
構成エディタで、[ グローバル ] > [ アプリケーション ] > [ 設定] をクリックします。
注
マルチポート展開用に追加のICAポートを追加する場合は、WAN最適化アプリケーション分類子でこれらのポートを追加する必要があります。そうしないと、3 つの追加ポートのトラフィックは WANOP に転送されません。ICAが最適化するように構成されている場合、デフォルトの2598ポートのみが転送されます。
g) -
[ ディープパケットインスペクションを有効にする] を選択します。これにより、アプライアンスでアプリケーションの分類が可能になります。SD-WAN Centerでは、アプリケーションの統計情報を表示、監視できます。詳しくは、「アプリケーションレポート」を参照してください。
注
デフォルトでは、 ディープパケットインスペクションの有効化(Enable Deep Packet Inspection )は、分類されたデータの統計情報を収集します。
-
[ Citrix ICAアプリケーションのディープ・パケット・インスペクションを有効にする]を選択します。これにより、Citrix ICAアプリケーションの分類が可能になり、ユーザー、セッション、フロー数の統計が収集されます。このオプションを有効にしないと、HDXトラフィックのフレーバーの一部が分類され、QoEが計算されますが、SD-WAN Centerの統計情報は利用できません。SD-WAN Centerでは、ICAアプリケーションの統計情報を表示、監視できます。このオプションは、デフォルトで有効になっています。詳しくは、「HDXレポート」を参照してください。
-
[ HDXユーザーレポートを有効にする ]を選択して、新しく追加されたユーザーベースのレポート([HDXサマリー]、[HDXユーザーセッション]、[ HDXアプリ])を生成します。これらのレポートは、SD-WAN Centerで使用できます。これは、 HDXサイト統計レポートには適用されません 。このオプションは、DPI オプションを有効にするのと同様に、グローバルレベルおよびサイトレベルで使用できます。サイトレベルで HDXユーザーレポートを有効にするには 、 構成エディターで[ 接続]>[アプリケーション]をクリックします。
-
DPI ICAポートで、HDX分類を処理するXA/XDポリシーで使用される非標準ポートを指定します。標準ポート番号 2598 または 1494 は、内部的にすでに含まれているため、このリストには含めないでください。
-
DPI ICA IPで、ポートを特定の宛先にさらに制限するために使用するIPアドレスを指定します。
注
任意の IP アドレス宛てのポートには ‘*’ を使用します。
-
[ 適用] をクリックします。
アプリケーション分類の設定は、各サイトで個別に構成できます。[ 接続] をクリックし、サイトを選択して、[ アプリケーション設定] をクリックします。また、グローバルアプリケーション設定を使用することもできます。
アプリケーションの検索
アプリケーションを検索して、アプリケーション・ファミリ名を特定できます。アプリケーションの簡単な説明も提供されます。
アプリケーションを検索する手順は、次のとおりです。
-
構成エディターで、[ グローバル ] > [ アプリケーション] > [ 検索] をクリックします。
-
[Search] フィールドにアプリケーションの名前を入力し、[Enter] をクリックします。
アプリケーションとアプリケーション・ファミリ名の簡単な説明が表示されます。
次の機能は、マッチタイプとしてアプリケーションを使用します。
注
ディープパケットインスペクションを使用して SD-WAN アプライアンスが識別できるアプリケーションについては、アプリケーション署名ライブラリを参照してください。
アプリケーションオブジェクト
アプリケーションオブジェクトを使用すると、異なるタイプの一致基準を 1 つのオブジェクトにグループ化できます。このオブジェクトは、ファイアウォールポリシーおよびアプリケーションステアリングで使用できます。IP プロトコル、アプリケーション、およびアプリケーションファミリは、使用可能な一致タイプです。
次の機能では、アプリケーションオブジェクトを一致タイプとして使用します。
アプリケーション・オブジェクトを作成する手順は、次のとおりです。
-
構成エディターで、「 グローバル 」>「 アプリケーション 」>「 アプリケーションオブジェクト」をクリックします。
-
[ 追加 ] をクリックし、[ 名前 ] フィールドにオブジェクトの名前を入力します。
-
Citrix SD-WAN Centerでカスタムアプリケーションレポートを表示できるようにするには、[レポートを有効にする]を選択します。詳しくは、「アプリケーションレポート」を参照してください。
-
[ Priority ] フィールドに、アプリケーションオブジェクトの優先度を入力します。着信パケットが 2 つ以上のアプリケーションオブジェクト定義と一致すると、プライオリティが最も高いアプリケーションオブジェクトが適用されます。
-
[ アプリケーション一致基準 ] セクションで [ + ] をクリックします。
-
次のいずれかのマッチタイプを選択します。
- IP プロトコル: プロトコル、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
- アプリケーション: アプリケーション名、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
- アプリケーションファミリ:アプリケーションファミリを選択し、ネットワーク IP アドレス、ポート番号、および DSCP タグを指定します。
-
アプリケーションの一致基準を追加するには、[ + ] をクリックします。
-
[追加] をクリックします。
ファイアウォールでのアプリケーション分類の使用
トラフィックをアプリケーション、アプリケーションファミリ、またはドメイン名として分類すると、アプリケーション、アプリケーションファミリ、およびアプリケーションオブジェクトを一致タイプとして使用して、トラフィックをフィルタリングし、ファイアウォールポリシーとルールを適用できます。これは、すべてのプレポリシー、ポストポリシー、およびローカルポリシーに適用されます。ファイアウォールの詳細については、ステートフルファイアウォールと NAT のサポートを参照してください。
アプリケーション分類の表示
アプリケーションの分類を有効にすると、次のレポートでアプリケーション名とアプリケーション・ファミリの詳細を表示できます。
-
ファイアウォール接続の統計情報
-
フロー情報
-
アプリケーション統計
ファイアウォール接続の統計情報
構成エディタで、[監視] > [ファイアウォール]に移動します。[ 接続 ] セクションの [ アプリケーション ] 列と [ ファミリ ] 列には、アプリケーションとその関連ファミリが一覧表示されます。
アプリケーションの分類を使用可能にしない場合、「 アプリケーション 」列と「 ファミリ 」列にはデータが表示されません。
フロー情報
構成エディタで、[監視] > [フロー]に移動します。「 フロー・データ 」セクションの「 アプリケーション 」列にアプリケーションの詳細がリストされます。
アプリケーション統計
構成エディタで、[監視] > [統計]に移動します。[ アプリケーション統計 ] セクションの [ アプリケーション ] 列に、アプリケーションの詳細が表示されます。
トラブルシューティング
アプリケーションの分類を有効にした後、[ Monitoring ] セクションの下にレポートを表示し、アプリケーションの詳細が表示されることを確認できます。詳しくは、「アプリケーション分類の表示」を参照してください。
予期しない動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。
STS バンドルは、 [構成] > [システムメンテナンス] > [診断] > [診断情報]を使用して作成およびダウンロードできます。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.