应用程序分类
Citrix SD-WAN 设备使用以下技术执行深度数据包检查 (DPI) 以识别应用程序并对其进行分类:
- 新闻部图书馆分类
- Citrix 专有的独立计算架构 (ICA) 分类
- 应用程序供应商 API(例如适用于 Office 365 的 Microsoft REST API)
- 基于域名的应用程序分类
新闻部图书馆分类
深度数据包检测 (DPI) 库可识别数以千计的商业应用程序。它可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。
默认情况下,对网络中的所有站点启用 DPI。禁用 DPI 将停止设备上的 DPI 分类功能。您不能再使用 DPI 分类的应用程序/应用程序类别来配置防火墙、QoS 和路由策略。您也无法查看热门应用程序和应用程序类别报告。
要禁用全局 DPI,请在网络级别导航到 配置 > 应用程序设置和群组 > DPI 设置 ,然后清除 “ 启用全局 DPI ” 复选框选项。
要启用 DPI 库分类,请在配置编辑器中导航到全局 > 应用程序 > DPI 设置,然后选中启用深度数据包检查复选框。
ICA 分类
Citrix SD-WAN 设备还可以识别和分类虚拟应用程序和桌面的 Citrix HDX 流量。Citrix SD-WAN 识别 ICA 协议的以下变体:
- ICA
- CGP
- 单流 ICA (SSI)
- 多流 ICA (微星)
- ICA 对技术合作协议
- ICA over UDP/EDT
- ICA 通过非标准端口(包括多端口 ICA)
- HDX 自适应传输
- ICA over WebSocket(由 HTML5 Receiver 使用)
注意
SD-WAN Standard Edition 不支持通过 SSL/TLS 或 DTLS 传送的 ICA 流量分类,但 SD-WAN Premium Edition 和 SD-WAN WANOP Edition 支持。
网络流量的分类是在初始连接或流量建立期间完成的。因此,预先存在的连接不被分类为 ICA。手动清除连接表时,连接分类也会丢失。
Framehawk 流量和 UDP/RTP 上的音频不被归类为 HDX 应用程序。它们报告为 UDP 或 未知协议。
自 10 版本 1 以来,SD-WAN 设备即使在单端口配置中,也可以区分多流 ICA 中的每个 ICA 数据流。每个 ICA 流都被分类为一个单独的应用程序,具有其自己的默认 QoS 类来进行优先级排序。
要使多流 ICA 功能正常运行,请使用 SD-WAN 标准版 10.1 或更高版本或 SD-WAN 高级版。
要在 SDWAN-Center 上显示基于 HDX 用户的报告,请使用 SD-WAN 标准版或高级版 11.0 或更高版本。
HDX 信息虚拟通道的最低软件要求:
Citrix Virtual Apps and Desktops(以前称为 XenApp 和 XenDesktop)的当前版本,因为必备功能是在 XenApp 和 XenDesktop 7.17 中引入的,不包括在 7.15 长期服务版本中。
支持多流 ICA 和 HDX 见解信息虚拟通道 CTXNSAP 的 Citrix Workspace 应用程序(或其前身,Citrix Receiver)的版本。在 Citrix Workspace 应用程序功能矩阵 中查找 具有 NSAP VC 和多端口/多流ICA 的 HDX Insight。在 HDX Insights上查看当前支持的发行版本。
从 11.2 版本起,现在默认情况下,在使用多流 ICA 时,HDX 实时流量启用数据包复制功能。
分类后,ICA 应用程序可用于应用程序规则中,并查看与其他分类应用程序类似的应用程序统计信息。
ICA 应用程序有五个默认应用程序规则,每个规则针对以下优先级标记:
- 独立计算架构 (Citrix) (ICA)
- ICA 实时(ICA 优先级 _0)
- ICA 交互式 (ICA 优先级 _1)
- ICA 批量传输 (ica_prority_2)
- 国际合作社理事会背景 (优先级 _3)
有关详 细信息,请参阅按应用程序名称排
如果要通过单个端口运行不支持多流 ICA 的软件组合,则要执行 QoS,您必须为每个 ICA 流配置多个端口。 要按照 XA/XD 服务器策略中配置的非标准端口对 HDX 进行分类,必须在 ICA 端口配置中添加这些端口。此外,要将这些端口上的流量与有效的 IP 规则相匹配,您必须更新 ICA IP 规则。
在 ICA IP 和端口列表中,您可以指定 XA/XD 策略中使用的非标准端口来处理 HDX 分类。IP 地址用于进一步限制端口到特定目的地。将 * 用于指定到任何 IP 地址的端口。IP 地址与 SSL 端口的组合也用于指示流量可能是 ICA,即使流量未最终归类为 ICA。此指示用于发送 L4 AppFlow 记录以支持 Citrix Application Delivery Management 中的多跃点报告。
有关启用 ICA 分类的信息,请参阅 HDX QoE 配置
ICA 行为矩阵
| MCN | 管弦乐器服务 | |
|---|---|---|
| ICA | 开 | 开 |
| MSI | 开 | 关 |
| HDX 报告 | 开 | 关 |
| 应用程序 QoE | 未配置 | 未配置 |
应用程序供应商 API 基于分类
Citrix SD-WAN 支持以下基于应用程序供应商 API 的分类:
-
办公室 365 有关详细信息,请参阅 Office 365 优化。
-
Citrix Cloud 和 Citrix Gateway 服务. 有关更多信息,请参阅 网关服务优化。
基于域名的应用程序分类
DPI 分类引擎得到了增强,可根据域名和模式对应用程序进行分类。DNS 转发器拦截和解析 DNS 请求后,DPI 引擎使用 IP 分类器执行第一个数据包分类。进一步的 DPI 库和 ICA 分类完成,并附加基于域名的应用程序 ID。
基于域名的应用程序功能允许您对多个域名进行分组,并将其视为单个应用程序。更轻松地应用防火墙、应用程序指导、QoS 和其他规则。最多可配置 64 个基于域名的应用程序。
要定义基于域名的应用程序,请在网络级别导航到 应用程序设置和群组 > 域名和应用程序 > 基于域名的应用程序。输入应用程序名称并添加所需的域名或模式。您可以在开头输入完整域名或使用通配符。允许使用以下域名格式:
- example.com
- *.example.com
基于分类域名的应用程序用于配置以下内容:
注意
从 Citrix SD-WAN 11.5 开始,支持 IPv6 和 AAAA 记录。
限制
- 如果没有对应于基于域名的应用程序的 DNS 请求/响应,DPI 引擎不会对基于域名的应用程序进行分类,因此不会应用与基于域名的应用程序对应的应用程序规则。
- 如果创建的应用程序对象使端口范围包括端口 80 和/或端口 443,具有与基于域名的应用程序相对应的特定 IP 地址匹配类型,则 DPI 引擎不会对基于域名的应用程序进行分类。
- 如果配置了显式 Web 代理,则必须将所有域名模式添加到 PAC 文件中,以确保 DNS 响应并不总是返回相同的 IP 地址。
- 基于域名的应用程序分类会在配置升级时重置。重分类基于 11.0.2 之前版本的分类技术,例如 DPI 库分类、ICA 分类和基于供应商应用程序 API 的分类。
- 根据基于域名的应用程序分类获取的应用程序签名(目标 IP 地址)将在配置更新时重置。
- 仅处理标准 DNS 查询及其响应。
- 分割到多个数据包的 DNS 响应记录不会被处理。仅处理单个数据包中的 DNS 响应。
- 不支持通过 TCP 进行 DNS。
- 只支持顶级域作为域名模式。
对加密流量进行分类
Citrix SD-WAN 设备通过以下两种方法检测并报告加密流量,作为应用程序报告的一部分:
- 对于 HTTPS 流量,DPI 引擎会检查 SSL 证书以读取公用名称,该名称包含服务的名称(例如- Facebook,Twitter)。根据应用程序体系结构,只有一个证书可用于多种服务类型(例如电子邮件、新闻等)。如果不同的服务使用不同的证书,DPI引擎将能够区分服务。
- 对于使用自己的加密协议的应用程序,DPI 引擎会在流中查找二进制模式,例如,对于 Skype,DPI 引擎会在证书中查找二进制模式并确定应用程序。
有关配置加密流量和查看报告的详细过程,请参阅 HDX QoE。
要配置应用程序分类设置,请执行以下操作:
应用程序组
应用程序组使您可以将不同类型的匹配标准分组为一个对象,该对象可用于防火墙策略和应用程序指导。IP 协议、应用程序和应用程序系列是可用的匹配类型。
以下功能使用应用程序组作为匹配类型:
有关创建应用程序组的更多信息,请参阅 应用程序组