Citrix SD-WAN

应用程序分类

Citrix SD-WAN 设备使用以下三种技术来识别应用程序并对其进行分类:

  • 深度数据包检测 (DPI)
  • Citrix 专有的独立计算架构 (ICA) 协议
  • 应用程序供应商 API(例如适用于 Office 365 的 Microsoft REST API)

深度数据包检测 (DPI) 库可识别数以千计的商业应用程序。这样可实现应用程序的实时发现和分类。SD-WAN 设备使用 DPI 技术分析传入的数据包,并将流量分类为属于特定应用程序或应用程序系列。每个连接的应用程序分类需要几个数据包。

要启用 DPI 库分类,请在配置编辑器中导航到全局 > 应用程序 > DPI 设置,然后选中启用深度数据包检查复选框。

Citrix SD-WAN 设备还可以识别和分类虚拟应用程序和桌面的 Citrix HDX 流量。Citrix SD-WAN 识别 ICA 协议的以下变体:

  • ICA
  • CGP
  • 单流 ICA (SSI)
  • 多流 ICA (微星)
  • ICA 对技术合作协议
  • ICA over UDP/EDT
  • ICA 通过非标准端口(包括多端口 ICA)
  • HDX 自适应传输
  • ICA over WebSocket(由 HTML5 Receiver 使用)

注意

SD-WAN 标准版不支持将通过 SSL/TLS 或 DTLS 传送的单端口 ICA 流量分为基于 HDX 优先级标记(即各个 ICA 流)的单个类,但 SD-WAN 高级版和 SD-WAN WANOP 版支持。

网络流量的分类是在初始连接或流量建立期间完成的。因此,预先存在的连接不归类为 ICA。手动清除连接表时,连接的分类也将丢失。

Framehawk 流量和 UDP/RTP 上的音频不被归类为 HDX 应用程序。这些旧式虚拟通道被报告为“UDP”或“未知协议”。“

自发行版 10 版本 1 以来,SD-WAN 标准版可以区分多流 ICA 中的每个 ICA 数据流,即使在单端口配置中也是如此。每个 ICA 流都被分类为一个单独的应用程序,具有其自己的默认 QoS 类来进行优先级排序。

要使单端口多流 ICA 功能正常工作,您需要具备:

  • SD-WAN 标准版 10 版本 1 或更高版本,或 SD-WAN 高级版。
  • Citrix Virtual Apps 程序和桌面(以前称为 XenApp 和 XenDesktop)的当前版本,因为先决条件功能已在 XenApp 和 XenDesktop 7.17 中引入,而且不包括在 7.15 长期服务版本中。
  • 支持 HDX 信息虚拟通道 CTXNSAP 的 Citrix Citrix Workspace 应用程序(或其前身 Citrix Receiver)的版本。在中查找 “使用 NSAP VC 的 HDX Insight” Citrix Workspace 应用程序功能列表。请参阅上当前支持的发行版本HDX 洞察

分类后,ICA 应用程序可用于应用程序规则中,并查看与其他分类应用程序类似的应用程序统计信息。

ICA 应用程序有五个默认应用程序规则,每个规则针对以下优先级标记:

  • ICA
  • ICA 实时(ICA 优先级 _0)
  • ICA 交互式 (ICA 优先级 _1)
  • ICA 批量传输 (ica_prority_2)
  • ICA 背景(优先级 _3)
  • 独立计算架构 (Citrix) (ICA)

有关详细信息,请参阅按应用程序名称规则

如果要通过单个端口运行不支持多流 ICA 的软件组合,则要执行 QoS,您必须为每个 ICA 流配置多个端口。

要在 XenApp 和 XenDesktop 服务器策略中配置的非标准端口上对 HDX 进行分类,必须在 ICA 端口配置中添加这些端口。此外,要将这些端口上的流量与有效的 IP 规则相匹配,您必须更新 ICA IP 规则。

在 ICA IP 和端口列表中,您可以指定 XA/XD 策略中使用的非标准端口以进行 HDX 分类。IP 地址用于进一步限制端口到特定目的地。将 * 用于指定到任何 IP 地址的端口。IP 地址与 SSL 端口组合也用于指示流量可能是 ICA,即使流量不是最终分类为 ICA。此指示用于发送 L4 AppFlow 记录以支持 Citrix Application Delivery Management 中的多跃点报告。

要启用基于 ICA 的分类,请在配置编辑器中导航到全局 > 应用程序 > DPI 设置,然后选中为 Citrix ICA 应用程序启用深度数据包检查复选框。

应用程序供应商 API 基于分类

Citrix SD-WAN 支持以下基于应用程序供应商 API 的分类:

对加密流量进行分类

Citrix SD-WAN 设备通过以下两种方法检测并报告加密流量,作为应用程序报告的一部分:

  • 对于 HTTPS 流量,DPI 引擎会检查 SSL 证书以读取公用名称,该名称包含服务的名称(例如- Facebook,Twitter)。根据应用程序体系结构,只有一个证书可用于多种服务类型(例如电子邮件、新闻等)。如果不同的服务使用不同的证书,DPI 引擎将能够区分服务。
  • 对于使用自己的加密协议的应用程序,DPI 引擎会在流中查找二进制模式,例如,在 Skype 的情况下,DPI 引擎会在证书中查找二进制模式并确定应用程序。

要配置应用程序分类设置,请执行以下操作:

  1. 配置编辑器中,单击 全局> 应用程序> 设置

    应用程序设置

    注意

    如果为多端口部署添加额外的 ICA 端口,则必须将这些端口添加到 WAN 优化应用程序分类器中。否则,三个额外端口上的流量不会转发到 WANOP。如果将 ICA 配置为优化,则仅转发默认 2598 端口。

    WANOP 应用粘土机

  2. 选择 启用深度数据包检查。这将启用设备上的应用程序分类。您可以在 SD-WAN Center 查看和监视应用程序统计信息。有关详细信息,请参阅应用程序报告

    注意

    默认情况下, 启用深度数据包检查 收集分类数据的统计信息。

  3. 选择 为 Citrix ICA 应用程序启用深度数据包检查。这样可以对 Citrix ICA 应用程序进行分类,并收集用户、会话和流计数的统计信息。如果不启用此选项,可能仍会对 HDX 流量的某些风格进行分类并计算 QoE,但 SD-WAN Center 的统计数据不可用。您可以在 SD-WAN Center 查看和监视 ICA 应用程序统计信息。默认情况下启用此选项。有关详细信息,请参阅HDX 报告

  4. 选择 启用多流 ICA 以允许会话中的多个 ICA 流。默认情况下,此选项处于禁用状态,并且只能启用该选项才能为每个流类型提供 QoS。

  5. DPI ICA 端口中,指定用于处理 HDX 分类的 XA/XD 策略中的非标准端口。请勿在此列表中包含标准端口号 2598 或 1494,因为这些端口号已包含在内部。

  6. DPI ICA IP中,指定要用于进一步限制端口到特定目标的 IP 地址。

    注意

    将 * 用于指定到任何 IP 地址的端口。

  7. 单击 应用

您可以在每个站点分别配置应用程序分类设置。单击 连接,选择一个站点,然后单击 应用程序设置。您还可以选择使用全局应用程序设置。

搜索应用程序

您可以搜索应用程序以确定应用程序的家族名称。此外,还提供了应用程序的简要说明。

要搜索应用程序,请执行以下操作:

  1. 在配置编辑器中,单击 全局 > 应用程序 > 搜索

  2. 在搜索字段中键入应用程序的名称,然后单击 Enter

    此时将显示应用程序和应用程序系列名称的简要描述。

    应用程序搜索

以下功能使用应用程序作为匹配类型:

注意

有关 SD-WAN 设备可以使用深度数据包检查识别的应用程序的信息,请参阅应用程序签名库

应用程序对象

通过应用程序对象,您可以将不同类型的匹配条件分组到一个可用于防火墙策略和应用程序指导的单个对象中。IP 协议、应用程序和应用程序系列是可用的匹配类型。

以下功能使用应用程序对象作为匹配类型:

要创建应用程序对象,请执行以下操作:

  1. 在配置编辑器中,单击 全局 > 应用程序 > 应用程序对象

  2. 单击 添加,然后在 名称 字段中输入对象的名称。

    应用程序对象

  3. 选择启用报告以允许在 Citrix SD-WAN Center 中查看自定义应用程序报告。有关详细信息,请参阅应用程序报告

  4. 优先级 字段中,输入应用程序对象的优先级。当传入数据包匹配两个或多个应用程序对象定义时,将应用具有最高优先级的应用程序对象定义。

  5. 单击 “ 应用程序匹配条件 ” 部分中的 +

  6. 选择以下匹配类型之一:

    • IP 协议:指定协议、网络 IP 地址、端口号和 DSCP 标签。
    • 应用程序:指定应用程序名称、网络 IP 地址、端口号和 DSCP 标签。
    • 应用程序系列:选择应用程序系列并指定网络 IP 地址、端口号和 DSCP 标记。
  7. 单击 + 添加更多应用程序匹配条件。

  8. 单击添加

将应用程序分类与防火墙结合使用

通过将流量分类为应用程序和应用程序系列,您可以使用应用程序、应用程序系列和应用程序对象作为匹配类型来筛选流量并应用防火墙策略和规则。这适用于所有预备、过帐和本地策略。有关防火墙的更多信息,请参阅 有状态防火墙和 NAT 支持

应用分类防火墙

查看应用程序分类

启用应用程序分类后,您可以在以下报告中查看应用程序名称和应用程序系列详细信息:

  • 防火墙连接统计

  • 流量信息

  • 应用程序统计

防火墙连接统计

配置编辑器中,导航到 监视 > 防火墙。在连接部分下,应用程序系列列列出了应用程序及其关联系族。

应用程序分类的防火墙连接

如果未启用应用程序分类,则应用程序系列列不显示任何数据。

防火墙连接无应用程序分类

流量信息

配置编辑器中,导航到 监控 > 流程。在流量数据部分下,应用程序列列出了应用程序

流量信息

应用程序统计

配置编辑器中,导航到 监控 > 统计信息。在应用程序统计信息部分下,应用程序列列出了应用程序详细信息。

应用程序统计

故障排除

启用应用程序分类后,您可以查看 监控 部分下的报告,并确保它们显示应用程序详细信息。有关详细信息,请参阅查看应用程序分类

如果存在任何意外行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。

可以使用 配置 > 系统维护 > 诊断 > 诊断信息创建和下载 STS 包。

应用程序分类