应用分类

Citrix SD-WAN设备使用以下技术执行深度数据包检查（DPI），以识别和分类应用程序：

• 新闻部图书馆分类
• Citrix专有独立计算体系结构（ICA）分类
• 应用程序供应商API（例如Office 365的Microsoft REST API）
• 基于域名的应用分类

新闻部图书馆分类

深度数据包检查（DPI）库识别成千上万的商业应用。它可以实时发现和应用程序分类。使用DPI技术，SD-WAN设备分析了传入数据包，并将流量分类为属于特定应用程序或应用程序系列。每个连接的应用程序分类需要一些数据包。

要启用DPI库分类，请在配置编辑器,导航到全局>应用程序>DPI设置然后选择启用深度数据包检查复选框。

ICA分类

Citrix SD-WAN设备还可以识别和分类虚拟应用程序和台式机的Citrix HDX流量。Citrix SD-WAN识别ICA协议的以下变化：

• 伊卡
• ICA-CGP
• 单流独立分量分析（SSI）
• 多流ICA（MSI）
• TCP上的ICA
• ICA超过UDP / EDT
• ICA在非标准港口（包括多端口ICA）
• HDX自适应运输
• WebSocket上的ICA（由HTML5接收器使用）

笔记

SD-WAN标准版不支持通过SSL/TLS或DTL交付的ICA流量分类，但SD-WAN高级版和SD-WAN WANOP版支持这种分类。

在初始连接或流量建立期间，网络流量的分类。因此，预先存在的连接不被归类为ICA。当手动清除连接表时，连接的分类也丢失。

UDP/RTP上的Framehawk流量和音频不属于HDX应用程序。它们被报告为“UDP”或“未知协议”

自第10版第1版以来，SD-WAN设备可以区分多流ICA中的每个ICA数据流，即使在单端口配置中也是如此。每个ICA流都被分类为一个单独的应用程序，具有自己的默认QoS级别以进行优先级排序。

• 要使多流ICA功能正常工作，您必须具有SD-WAN标准版10.1或更高版本，或SD-WAN高级版。

• 要在SDWAN Center上显示基于HDX用户的报告，您必须具有SD-WAN标准版或高级版11.0或更高版本。

HDX信息虚拟通道的最低软件要求：

• 7–1912长期服务版本或Citrix虚拟应用程序和台式机（以前是XenApp和XenDesktop）的最新版本，因为前提功能是在XenApp和XenDesktop 7.17中引入的，不包括在7.15长期服务版本中。

• Citrix Workspace应用程序（或其前身Citrix Receiver）的一个版本，支持多流ICA和HDX Insights信息虚拟通道CTXNSAP。寻找HDX Insight与NSAP VC以及系统中的多端口/多流ICACitrix Workspace应用程序功能矩阵。请参阅上当前支持的发布版本HDX洞察．

分类后，ICA应用程序可以在应用程序规则中使用，并查看与其他分类应用程序类似的应用程序统计信息。

ICA应用程序有五个默认应用程序规则，以下优先级标记各有一个：

• 独立计算体系结构（Citrix）（ICA）
• ICA实时（ICA\u优先级\u 0）
• ICA Interactive（ICA_Priority_1）
• ICA批量传输（ICA_优先级_2）
• ICA背景（ICA_优先级_3）

有关详细信息，请参阅按应用程序名称列出的规则

如果您正在运行在单个端口上不支持多流ICA的软件组合，则要执行QoS，必须配置多个端口，每个ICA流。要在XA / XD服务器策略中配置的非标准端口上对HDX进行分类，必须在ICA端口配置中添加这些端口。此外，要将这些端口上的流量匹配为有效的IP规则，您必须更新ICA IP规则。

在ICA IP和端口列表中，您可以指定XA/XD策略中使用的非标准端口来处理HDX分类。IP地址用于进一步将端口限制到特定的目标。将“*”用于发送到任何IP地址的端口。IP地址与SSL端口的组合也用于指示流量可能是ICA，即使流量最终未分类为ICA。此指示用于发送L4 AppFlow记录，以支持Citrix应用程序交付管理中的多跳报告。

要启用基于ICA的分类，请在配置编辑器,导航到全局>应用程序>DPI设置然后选择为Citrix ICA应用程序启用深度数据包检查复选框。

基于应用程序供应商API的分类

Citrix SD-WAN支持以下基于应用程序供应商API的分类：

• Office 365。有关详细信息，请参阅Office 365的优化．

• Citrix云和Citrix网关服务。有关详细信息，请参阅网关服务优化．

基于域名的应用分类

DPI分类引擎经过增强，可以根据域名和模式对应用程序进行分类。DNS转发器截获并解析DNS请求后，DPI引擎使用IP分类器执行第一个数据包分类。进一步进行DPI库和ICA分类，并附加基于域名的应用程序ID。

基于域名的应用程序功能允许您分组多个域名并将其视为单个应用程序。使防火墙，应用程序转向，QoS和其他规则更容易。最多可以配置基于64个域名的应用程序。

要定义基于域名的应用程序，请在“配置编辑器”中，导航到全球的>应用程序>基于域名的应用程序．输入应用程序名称并添加所需的域名或模式。您可以输入完整的域名，也可以在开头使用通配符。支持以下域名格式:

• example.com
• *.example.com

基于域名的分类应用程序用于配置以下各项：

• DNS代理
• DNS透明转发器
• 应用程序对象
• 申请途径
• 防火墙策略
• 应用QoS规则
• 应用QoE.

局限性

• 如果没有对应于基于域名的应用程序的DNS请求/响应，则DPI引擎不会对基于域名的应用程序进行分类，因此不会应用对应于基于域名的应用程序的应用程序规则。
• 如果创建的应用程序对象的端口范围包括端口80和/或端口443，且特定IP地址匹配类型对应于基于域名的应用程序，则DPI引擎不会对基于域名的应用程序进行分类。
• 如果配置了显式web代理，则必须将所有域名模式添加到PAC文件中，以确保DNS响应不会始终返回相同的IP地址。
• 基于域名的应用程序分类将在配置升级时重置。重新分类基于11.0.2版本之前的分类技术，如DPI库分类、ICA分类和基于供应商应用程序API的分类。
• 通过基于域名的应用程序分类学习的应用程序签名（目标IP地址）在配置更新时重置。
• 仅处理标准DNS查询及其响应。
• 不支持AAAA记录或IPv6记录。
• 不处理在多个数据包上拆分的DNS响应记录。仅处理单个数据包中的DNS响应。
• 不支持TCP上的DNS。
• 仅支持顶级域作为域名模式。

对加密流量进行分类

Citrix SD-WAN设备通过以下两种方法检测和报告加密流量，作为应用程序报告的一部分：

• 对于HTTPS流量，DPI引擎检查SSL证书以阅读携带服务的名称（例如 - Facebook，Twitter）的常用名称。根据应用程序架构，只有一个证书可以用于多种服务类型（例如 - 电子邮件，新闻等）。如果不同的服务使用不同的证书，则DPI引擎将能够区分服务。
• 对于使用自己的加密协议的应用程序，DPI引擎在流中查找二进制模式，例如在Skype的情况下，DPI引擎在证书中查找二进制模式并确定应用程序。

要配置应用程序分类设置，请执行以下操作：

1. 在配置编辑器点击全球的>应用程序>设置．

   笔记

   如果为多端口部署添加额外的ICA端口，则必须在Wan优化应用程序分类器中添加这些端口。否则，三个额外端口上的流量将不会转发到wanop。如果ICA配置为优化，则仅转发默认的2598端口。

   （g）

2. 选择启用深度数据包检查。这将启用设备上的应用程序分类。您可以在SD-WAN中心上查看和监视应用程序统计信息。有关更多信息，请参阅申请报告．

   笔记

   默认情况下，启用深度数据包检查收集分类数据的统计数据。

3. 选择为Citrix ICA应用程序启用深度数据包检查。这可以对Citrix ICA应用程序进行分类，并收集用户、会话和流量计数的统计信息。如果未启用此选项，HDX流量的某些特性可能仍会被分类并计算QoE，但SD-WAN中心的统计数据不可用。您可以在SD-WAN中心上查看和监视ICA应用程序统计信息。默认情况下，此选项处于启用状态。有关详细信息，请参阅HDX报告．

4. 选择启用HDX用户报告生成新添加的基于用户的报告（HDX摘要、HDX用户会话和HDX应用程序)这些报告可在SD-WAN中心获得。这不适用于HDX站点统计数据汇报此选项在全局和站点级别可用，类似于启用DPI选项。到启用HDX用户报告在站点级别，在配置编辑器点击连接>应用程序．

5. 在DPI ICA端口，指定XA/XD策略中用于处理HDX分类的非标准端口。此列表中不包括标准端口号2598或1494，因为这些端口号已包含在内部。

6. 在DPI ICA IP，指定用于进一步将端口限制到特定目标的IP地址。

   笔记

   将“*”用于发送到任何IP地址的端口。

7. 点击申请

您可以单独在每个站点配置应用程序分类设置。点击连接，选择一个站点并单击应用程序设置. 您还可以选择使用全局应用程序设置。

搜索应用程序

您可以搜索应用程序以确定应用程序姓氏。还提供了对申请的简要说明。

要搜索应用程序：

1. 在配置编辑器中，单击全球的>应用程序>搜索．

2. 在“搜索”字段中键入应用程序的名称，然后单击“输入”。

   将显示应用程序和应用程序族名称的简要说明。

以下功能使用应用程序作为匹配类型：

• 防火墙策略

• 应用QoS规则

• 应用QoE.

笔记

有关SD-WAN设备可以识别使用深度数据包检查的应用的信息，请参阅应用签名库．

应用程序对象

应用程序对象使您能够将不同类型的匹配条件分组到单个对象中，该对象可用于防火墙策略和应用程序控制。“IP协议”、“应用”和“应用族”是可用的匹配类型。

以下功能将应用程序对象用作匹配类型：

• 申请途径

• 防火墙策略

• 应用QoS规则

• 应用QoE.

要创建应用程序对象，请执行以下操作：

1. 在配置编辑器中，单击全球的>应用程序>应用程序对象．

2. 点击添加而且，在名称字段中，输入对象的名称。

3. 选择启用报告要启用查看Citrix SD-WAN中心中的自定义应用程序报告。有关更多信息，请参阅，申请报告．

4. 在优先事项字段中，输入应用程序对象的优先级。当传入数据包匹配两个或多个应用程序对象定义时，将应用具有最高优先级的应用程序对象。

5. 点击+在应用程序匹配标准部分

6. 选择以下匹配类型之一：

   • IP协议：指定协议、网络IP地址、端口号和DSCP标记。
   • 应用：指定应用程序名称、网络IP地址、端口号和DSCP标记。
   • 应用程序系列：选择应用程序系列并指定网络IP地址、端口号和DSCP标记。

7. 点击+添加更多应用程序匹配条件。

8. 点击添加．

将应用程序分类与防火墙一起使用

流量作为应用程序，应用程序系列或域名的分类使您可以将应用程序，应用程序系列和应用程序对象用作匹配类型来过滤流量并应用防火墙策略和规则。它适用于所有预先，帖子和本地政策。有关防火墙的更多信息，请参阅有状态防火墙和NAT支持．

查看应用程序分类

启用应用程序分类后，您可以在以下报告中查看应用程序名称和应用程序系列详细信息：

• 防火墙连接统计信息

• 信息流

• 应用统计数据

防火墙连接统计信息

在配置编辑器,导航到监控>防火墙. 在下面连接第二节应用和家庭列列出了应用程序及其关联的族。

如果不启用应用程序分类，则应用和家庭列不会显示任何数据。

信息流

在配置编辑器,导航到监控>流量. 在下面流动数据第二节应用列列出了应用程序的详细信息。

应用统计数据

在配置编辑器,导航到监控>统计. 在下面应用统计第二节应用列列出了应用程序的详细信息。

故障排除

启用应用程序分类后，您可以在监测并确保它们显示应用程序详细信息。有关详细信息，请参阅查看应用程序分类．

如果出现任何意外行为，请在观察问题时收集STS诊断包，并与Citrix支持团队共享。

可以使用创建和下载STS包配置>系统维护>诊断>诊断信息．