Citrix ADC支持微软直接访问部署
Microsoft Direct Access是一种可以让远程用户无缝、安全地连接到企业内部网络的技术,不需要建立单独的VPN连接。与VPN连接不同的是,当客户端连接到Internet时,客户端会自动连接到企业内部网络。
manage - out是Microsoft Direct Access特性,允许企业网络内的管理员连接到网络外的Direct Access客户端并管理它们(例如,执行管理任务,如安排服务更新和提供远程支持)。
在直接访问部署中,Citrix ADC设备提供高可用性、可伸缩性、高性能和安全性。Citrix ADC负载平衡功能通过最合适的服务器发送客户端流量。设备还可以通过正确的路径转发Manage-Out流量以到达客户端。
体系结构
Microsoft Direct Access部署的体系结构包括支持Direct Access的客户端、Direct Access服务器、应用服务器以及内部和外部Citrix ADC设备。客户端通过Direct Access服务器连接到应用服务器。外部Citrix ADC设备将客户端流量负载平衡到Direct Access服务器,而内部Citrix ADC设备将客户端流量从Direct Access服务器转发到目标应用程序服务器。直接访问用于隧道客户端的IPv6流量在IPv4网络。外部Citrix ADC设备上的一个IPv4负载平衡虚拟服务器将客户端通过隧道传输到Direct Access服务器之一的流量进行负载平衡。Direct Access服务器从接收到的客户机的IPv4数据包中提取IPv6数据包,并通过内部Citrix ADC设备将它们发送到目标应用服务器。内部Citrix ADC设备具有转发会话规则,并启用了源路由缓存选项,用于存储关于来自Direct Access Server的客户端流量的第2层和第3层连接信息。Citrix ADC设备将以下第2层和第3层信息存储在一个名为源路由缓存表的表中:
- 接收报文的源IP地址
- 发送数据包的Direct Access服务器的MAC地址
- 接收报文的Citrix ADC设备的VLAN ID
- 接收包的Citrix ADC设备的接口ID
Citrix ADC设备使用源路由缓存表中的信息将响应转发到相同的Direct Access服务器,因为它拥有到达客户机的隧道信息。此外,Internal设备使用源路由缓存表将应用程序服务器的Manage-out流量转发到适当的Direct Access服务器,以到达特定的客户机。
在Microsoft直接访问部署中配置内部Citrix ADC设备
要配置Internal Citrix ADC设备以转发应用服务器的响应并管理到适当的Direct Access Gateway的输出流量,请配置转发会话规则。在每条规则中,将sourceroutecache参数设置为ENABLED。
使用CLI命令创建转发会话规则。
在命令提示符处,输入:
- 添加forwardingSession
(( [ ])-acl6name<字符串> |-aclname<字符串>)-sourceroutecache(启用|禁用] - 显示forwardingsession<名称>
示例配置:
在下面的示例中,在内部Citrix ADC设备上创建转发会话规则MS-DA-FW-1。转发会话存储从Direct Access服务器接收的任何匹配源IPv6前缀2001:DB8::/96的IPv6报文的二层和三层信息。
> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED完成显示源路由缓存表
您可以显示源路由缓存表,用于监视或检测直接访问服务器和应用服务器之间的任何不需要的连接。
使用CLI命令查看源路由缓存表。
在命令提示符处,输入:
- 显示sourceroutecachetable
例子:
> show sourceroutecachetable SOURCEIP MAC VLAN INTERFACE 2001:DB8:5001:10 56:53:24:3d:02:eb 30 1/2 2001:DB8:5003:30 60:54:35:3e:04:bd 60 1/3完成清除源路由缓存表
您可以在Citrix ADC设备上清除源路由缓存表中的所有条目。
使用CLI清除源路由缓存表。
在命令提示符处,输入:
- 冲洗ns sourceroutecachetable