应用程序设置和群组
本部分允许用户自定义应用程序、将应用程序分组以便在策略中使用、QoS 配置文件以及 DNS 设置。
您可以为预定义和自定义 应用程序定义应用程序组 。 应用程序组 包含在定义安全策略时需要类似处理的应用程序。
在定义诸如 应用程序指导或防火墙规则之类的策略时,可以经常重复使用应用程序组 。它无需为每个应用程序创建多个条目。同样,在使用任何应用程序服务时,Application Groups 支持具有唯一名称的常见应用程序,以便简化和一致地重复使用。
要查看 应用程序组,请导航到 配置 > 应用程序设置和组。
域和应用程序
您可以根据域名 和应用程序页面的已发布应用程序列表中没有的域名创建内部应用程序 。要基于域名创建应用程序,请在网络级别导航到 应用程序设置和群组 > 域名和应用程序 > 基于域名的应用程序 选项卡,然后单击 新建基于域名的应用程序。输入应用程序名称并添加域名或模式。您可以在开头输入完整域名或使用通配符。
所有基于域名的应用程序都可以在应用程序 路由、应用程序规则和防火墙策略中看到。
从 Citrix SD-WAN 11.4.2 版本开始,“ 配置端口 ” 复选框选项在 “ 基于域名的应用程序” 下可用。启用 “ 配置端口 ” 复选框后,可以灵活地为基于域的应用程序配置一组多个端口、端口范围和协议 (TCP/UDP/Any)。
以前,应用程序下分组的域支持端口80和443以及协议 Any。 如果清除 “ 配置端口 ” 复选框,则会看到相同的行为。默认情况下,“ 配置端口 ” 复选框处于禁用状态。
选中 “ 配置端口 ” 复选框时,可以根据需要编辑、添加或删除任何端口或端口范围以及 TCP、UDP 或 Any 等协议选择。默认情况下,协议值设置为 An y ,端口设置为 80 和 443。
您还可以在 “预 分类应用程序” 选项卡下查看预定义应用程序 列表。您可以使用搜索栏 搜索 特定的应用程序,也可以根据应用程序系列筛选列表。
自定义应用程序
自定义应用程序 用于创建内部应用程序或 IP 端口组合,这些组合在已发布应用程序列表中不可用。管理员需要定义一个基于 IP 协议的自定义应用程序,该应用程序可以根据需要在多个策略中使用,而不必每次都提及 IP 地址和端口号的详细信息。
要创建自定义应用程序,请在网络级别导航到 “ 应用程序设置和群组” > “自定义应用程序”,单击 “ + 自定义应用程序 ” 并提供自定义应用程序的名称。指定匹配标准,例如 IP 协议、网络 IP 地址、端口号和 DSCP 标记。符合此条件的数据流被分组为自定义应用程序。
保存后,自定义应用程序将显示在列表中,可以根据需要进行编辑或删除。
为基于 IP 协议的自定义应用程序和应用程序组添加了 “ 启用报告 ” 复选框。必须选中 “ 启用报告 ” 复选框并提供报告优先级。
选中 “ 启用报告 ” 复选框后,您可以在 “ 报告 ” > “使用情况” 下查看 IP 自定义应用程序流 量。
报告优先级是为报告选择基于 IP 协议的自定义应用程序或应用程序组的顺序。当存在多个匹配项且启用报告时,选择用于报告的高优先级自定义应用程序或应用程序组会有所帮助。例如,如果自定义应用程序的报告优先级设置为 1,则表示该自定义应用程序在报告中获得最高优先级。而如果报告优先级设置为 100,则自定义应用程序在报告中的优先级要低得多。
注意
- 要使用基于域名的 应用程序,在创建应用程序路由、QoS 策略和防火墙策略时,必须将应用程序和域 列为匹配标准。
- 要使用自定义应用程序,在创建应用程序路由、QoS 策略和防火墙策略时,必须将 自定义 应用程序列为匹配条件。
创建自定义应用程序后,要执行应用程序路由,请导航到路由 > 路由策略 > + 应用程序路由,从 “ 匹配类型 ” 下拉列表中选择 “ 自定义应用程序 ”。同样,对于基于域名的 应用程序,从 “匹配类型” 下拉列表中选择 “应用程序和域 ”。
在创建 IP 协议 自定义应用程序时,您还可以在匹配条件下选择基于域名的应用程序。
同样,要查看 “ 防火墙策略” 下的自定义应用程序,请导航到 “ 安全” > “防火墙策略”。该应用程序可用于任何类型的策略(全局覆盖/站点特定/全局策略)。单击 “ 创建新规则 ”,在 “ 匹配条件” 下,从 “ 匹配类型 ” 下拉列表中选择 “ 自定义应用程序 ”。要查看基于域名的 应用程序,请从 “匹配类型” 下拉列表中选择 “应用程序和域 ”。
您可以在 “ 全局规则” 或 “站点/组特定规则” 下查看基于域名的自定义应用程序。要查看基于域名的应用程序,请导航到 QoS > QoS 策略 > 全局规则 > 应用程序规则 > + 应用程序规则,然后从 “应用程序和域” 下拉列表中选择所需的基于 域名的应用程序 。要查看自定义应用程序,请导航到 QoS > QoS 策略 > 全局规则 > 自定义应用程序规则 > + 自定义应用程序规则,然后从 “自定义应用程序” 下拉列表中选择所需的 自定义应用程序 。
单击 “ 验证配置 ” 以验证任何审计错误。
应用程序组
应用程序组 可帮助管理员将相似的应用程序组合在一起以用于通用策略,而不必为每个单独的应用程序创建策略。
您可以使用 “ 添加应用程序组” 选项创建应用程序组 。您可以根据应用程序角色在创建策略时引用同一个应用程序组。为特定组定义的策略将应用于与特定类别匹配的每个应用程序。
例如,您可以将 应用程序组 创建为 社交 网络,然后将 Facebook、LinkedIn 和 Twitter 等社交网络添加到该组中,为社交网络应用程序定义某些策略。
要创建 应用程序组,请指定组名称,搜索并从 “应用程序” 列表中添加 应用程序 。 您可以随时返回编辑设置或根据需要删除 应用程序组 。
单击 “配置” > “ 应用程序设置和组” > “应用程序组 ” 页面上的 “验证**配置 ” 以验证任何审计错误。**
应用程序质量档
此部分使您能够查看和创建应用程序质量配置文件。
应用程序 QoE 是 SD-WAN 网络中应用程序体验质量的度量标准。它测量通过两个 SD-WAN 设备之间的虚拟路径的应用程序的质量。
应用程序 QoE 分数是介于 0 到 10 之间的值。它所属的分数范围决定了应用程序的质量。
质量 | 范围 |
---|---|
良好 | 8–10 |
一般 | 4–8 |
不佳 | 0–4 |
应用程序 QoE 分数可用于衡量应用程序的质量并识别有问题的趋势。
配置式配置
单击 + QoE 配置文件 创建 QoE 配置文件,指定配置文件名称,然后从下拉列表中选择流量类型。
实时配置
您可以使用 QoE 配置文件定义实时和交互式设备的质量阈值,并将这些配置文件映射到应用程序或应用程序对象。
实时应用程序的应用程序 QoE 计算使用 Citrix 创新技术,该技术来自 MOS 分数。
默认阈值为:
- 延迟阈值(毫秒):160
- 抖动阈值(毫秒):30
- 数据包丢失阈值 (%):2
满足延迟、损耗和抖动阈值的实时应用程序流被认为具有良好的质量。
实时应用的 QoE 取决于达到阈值的流量百分比除以流量样本总数。
实时 QoE =(达到阈值的流量样本数量/流量样本总数)* 100
它被表示为 QoE 分数范围从 0 到 10。
交互式配置
交互式应用程序的应用程序 QoE 使用基于丢包和突发速率阈值的 Citrix 创新技术。
交互式应用程序对数据包丢失和吞吐量很敏感。因此,我们测量流中的数据包丢失百分比以及入口和出口流量的突发率。
可配置阈值为:
- 数据包丢失百分比。
- 预期出口突发率与入口突发率的比较。
默认阈值为:
- 数据包丢失阈值:1%
- 爆发率:60%
如果满足以下条件,则流程质量良好:
-
流的百分比损失小于配置的阈值。
-
出口突发率至少是已配置的入口突发率百分比。
应用质量配置
将应用程序或应用程序对象映射到默认或自定义 QoE 配置文件。您可以为实时和交互式流量创建自定义 QoE 配置文件。
单击 +QoE 配置 以创建自定义 QoE 配置文件:
- 类型:选择 DPI 应用程序或应用程序对象(应用程序、自定义应用程序和应用程序组)。
- 应用程序:根据选定的类型搜索并选择应用程序或应用程序对象。
- QoE 配置文件:选择要映射到应用程序或应用程序对象的 QoE 配置文件。
单击完成。
单击 “ 验证配置 ” 以验证任何审计错误。
使用自定义应用程序类型配置应用程序 QoE 后,将在报告 > 应用程序质量下自动生成相关的应用程序报告磁贴。与所选应用程序匹配的任何流量都会经过自定义应用程序的虚拟路径。
PAC 文件自定义的工作原理
理想情况下,企业网络主机 PAC 文件在内部 Web 服务器上,这些代理设置通过组策略分发。客户端浏览器从企业 Web 服务器请求 PAC 文件。Citrix SD-WAN 设备为启用 Office 365 分组的站点提供自定义 PAC 文件。
-
Citrix SD-WAN 定期从企业 Web 服务器请求并检索企业 PAC 文件的最新副本。Citrix SD-WAN 设备将 Office 365 URL 修补到企业 PAC 文件。企业 PAC 文件预计将具有占位符(SD-WAN 特定标签),其中 Office 365 URL 无缝修补。
-
客户端浏览器向企业 PAC 文件主机发出 DNS 请求。Citrix SD-WAN 拦截代理配置文件 FQDN 的请求,并使用 Citrix SD-WAN VIP 进行响应。
-
客户端浏览器请求 PAC 文件。Citrix SD-WAN 设备在本地提供修补的 PAC 文件。PAC 文件包括企业代理配置和 Office 365 URL 排除策略。
-
在收到 Office 365 应用程序的请求后,Citrix SD-WAN 设备将直接执行互联网突围。
必备条件
-
企业必须托管 PAC 文件。
-
PAC 文件必须有占位符 SDWAN_TAG 或者一次出现修补 Office 365 URL 的
findproxyforurl
函数。 -
PAC 文件 URL 必须基于域,而不是基于 IP。
-
PAC 文件仅通过受信任的身份 VIP 提供。
-
Citrix SD-WAN 设备必须能够通过其管理界面下载企业 PAC 文件。
配置代理自动配置
在 SD-WAN Orchestartor 用户界面中,在网络级别导航到 配置 > 应用程序设置和群组 > 代理自动配置 ,然后单击 + PAC 文件配置文件。
输入 PAC 文件配置文件的名称,提供企业 PAC 文件服务器的 URL。Office 365 突破规则动态修补到企业 PAC 文件。
选择应用 PAC 文件配置文件的站点。如果每个站点有不同的 URL,请为每个站点创建不同的配置文件。
限制
-
不支持 HTTPS PAC 文件服务器请求。
-
不支持网络中的多个 PAC 文件,包括路由域或安全区域的 PAC 文件。
-
不支持从头在 Citrix SD-WAN 上生成 PAC 文件。
-
不支持通过 DHCP 进行 WPAD。
DPI 设置
Citrix SD-WAN 设备执行深度数据包检查 (DPI) 来识别应用程序并对其进行分类。DPI 库可识别成千上万的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。
默认情况下,对网络中的所有站点启用 DPI。禁用 DPI 将停止设备上的 DPI 分类功能。您不能再使用 DPI 分类的应用程序/应用程序类别来配置防火墙、QoS 和路由策略。您也无法查看热门应用程序和应用程序类别报告。
要禁用全局 DPI,请在网络级别导航到 配置 > 应用程序设置和群组 > DPI 设置 ,然后清除 “ 启用全局 DPI ” 复选框选项。
您还可以选择仅通过覆盖全局 DPI 设置来禁用某些站点的 DPI。要禁用选定站点的 DPI,请将这些站点添加到 “ 站点覆盖 ” 列表中。