总是在
Citrix Gateway的Always On特性确保用户始终连接到企业网络。这种持久的VPN连接是通过自动建立VPN隧道实现的。
请注意
Always On特性支持Citrix ADC 12.0 Build 51.24及更高版本的专属门户。
何时使用Always On
当需要基于用户位置提供无缝VPN连接,并且必须防止未连接到VPN的用户访问网络时,使用Always On。
下面的场景演示了Always On的使用。
- 员工在企业网络外启动笔记本电脑,需要协助建立VPN连接。
解决方案:当笔记本电脑在企业网络外启动时,“始终开启”会无缝地建立隧道并提供VPN连接。 - 使用VPN连接的员工进入企业网络。员工被切换到企业网络,但仍然连接到VPN隧道,这不是一个理想的状态。
解决方案:当员工进入企业网络后,恒开会断开VPN隧道,无缝切换到企业网络。 - 员工移出企业网络并关闭笔记本电脑(不是关机)。员工需要帮助在笔记本电脑上恢复工作时建立VPN连接。
解决方案:当员工迁移到企业网络之外时,“始终开启”系统会无缝建立隧道并提供VPN连接。 - 某企业希望对未连接VPN隧道的用户提供的网络访问进行监管。
解决方案:根据配置的不同,“始终开启”限制访问,只允许用户访问网关网络。
理解Always On框架
“始终开启”会自动将用户连接到客户端先前建立的VPN隧道。用户第一次需要VPN隧道时,必须连接到Citrix Gateway URL并建立隧道。将Always On配置下载到客户端后,该配置将驱动后续隧道的建立。
Citrix Gateway客户端可执行文件始终在客户端机器上运行。当用户登录或网络发生变化时,Citrix Gateway客户端会判断用户的笔记本电脑是否在企业网络中。根据位置和配置,Citrix Gateway客户端可以建立隧道,也可以拆除现有隧道。
只有用户登录计算机后才开始建立隧道。Citrix Gateway客户端使用客户端机器的凭据对网关服务器进行身份验证,并尝试建立隧道。
自动重建隧道
当VPN隧道被Citrix网关拆除时,会触发隧道自动重建。
请注意
在端点分析失败时,Citrix Gateway客户端不会重新尝试建立隧道,但会显示错误消息。如果出现身份验证失败,Citrix Gateway客户端将提示用户输入凭据。
无缝隧道建立支持用户认证方式
支持的用户认证方式如下:
- 用户名+ AD密码:如果使用Windows用户名和密码进行身份验证,Citrix Gateway客户端将使用这些凭据无缝建立隧道。
- 用户证书:如果使用用户证书进行身份验证,并且计算机上只有一个证书,则Citrix Gateway客户端将使用该证书无缝地建立隧道。如果安装了多个客户端证书,则在用户选择了首选证书后,隧道才会建立。Citrix Gateway客户端将此首选项用于下一个已建立的隧道。
- 用户证书和用户名+ AD密码:该认证方式是上述认证方式的组合。
请注意
支持所有其他身份验证机制,但隧道的建立对于任何其他身份验证方法都不是无缝的。所有其他身份验证方法都需要用户干预。
始终开启的配置要求
企业管理员必须对被管理的设备执行以下操作:
- 用户不能终止特定配置的进程/服务
- 用户必须不能卸载特定配置的包
- 用户不能更改特定的注册表项
请注意
如果用户拥有管理特权,该特性可能无法正常工作,就像在非托管设备的情况下一样。
启用始终开启特性时的注意事项
在启用Always On特性之前,请阅读以下部分。
主网接入:隧道建立时,根据隧道分裂的配置决定进入企业内网的流量。没有提供其他配置来覆盖此行为。
客户端代理设置:客户端连接网关服务器时,忽略代理设置。
请注意
Citrix ADC设备的代理配置不会被忽略。只有客户端机器的代理设置被忽略。在系统上配置了代理的用户会收到VPN插件忽略其代理设置的通知。
当配置值设置为“Deny”时,应用以下更改:
- 客户端UI——插件上下文菜单和插件UI中的注销和退出选项被禁用。用户不允许更改网关URL。
- 浏览器登录-不允许浏览器登录到不同的网关。禁用客户端控件。
配置始终开启
要配置Always On,请在Citrix Gateway设备上创建Always On配置文件并应用该配置文件。
创建始终开启配置文件:
- 在Citrix ADC GUI中,导航到> Citrix Gateway > Policies > AlwaysON。
- 在“AlwaysOn Profiles”页面,单击添加.
- 在“创建AlwaysON配置文件”页面中,输入以下详细信息:
- 的名字-个人资料的名称。
- 基于位置的VPN—选择以下选项之一:
- 远程客户端检测自身是否在企业网络中,如果不在企业网络中,则建立隧道。这是默认设置。
- 到处都是让客户端跳过位置检测,不考虑客户端的位置而建立隧道
- 客户端控制—选择以下选项之一:
- 否认防止用户注销并连接到其他网关。这是默认设置。
- 允许允许用户注销并连接到另一个网关。
- 网络访问VPN失败—选择以下选项之一:
- 完全访问允许网络流量在隧道未建立时进出客户端。这是默认设置。
- 仅限网关当隧道未建立时,防止网络流量流入或流出客户端。但是,该网关IP地址的流量是允许的。
- 点击创建完成您的配置文件的创建。
要应用始终开启配置文件:
- 在“Citrix ADC”界面中选择> Citrix Gateway >全局配置.
- 2 .在“全局配置”页面单击更改全局设置链接,然后选择客户体验选项卡。
- 从AlwaysON配置名称下拉菜单,选择新创建的配置文件,然后单击好吧.
请注意
可以在Session概要文件中进行类似的配置,以在组级、服务器级或用户级应用策略。
关于iip的说明
机器级隧道使用基于证书的身份验证,创建的会话使用证书的公共名称作为用户名。因此,如果设备证书具有唯一的公共名称,那么不同机器的会话具有不同的用户名,从而具有不同的iip。请确保生成的设备证书具有唯一的名称。理想情况下,必须使用机器名称作为设备证书的通用名称。
管理员用户和非管理员用户不同配置的行为汇总
下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响“始终开启”功能。
| networkAccessONVPNFailure | 客户端控制 | 非管理用户 | 管理用户 |
|---|---|---|---|
fullaccess |
允许 | 隧道自动建立。用户可以注销并脱离网络。用户还可以指向另一个Citrix Gateway。 | 隧道自动建立。用户可以注销并退出企业网络。用户还可以指向另一个Citrix Gateway。 |
fullaccess |
否认 | 隧道自动建立。用户无法注销或指向另一个Citrix Gateway。 | 隧道自动建立。用户可以卸载Citrix Gateway Client或移动到另一个Citrix Gateway。 |
| onlyToGateway | 允许 | 隧道自动建立。用户可以注销(无网络访问)。用户还可以指向另一个Citrix Gateway,在这种情况下,访问权限只授予新指向的Citrix Gateway。 | 隧道自动建立。用户可以卸载Citrix Gateway Client或移动到另一个Citrix Gateway。 |
| onlyToGateway | 否认 | 隧道自动建立。用户无法注销或指向另一个Citrix Gateway。 | 隧道自动建立。用户可以卸载Citrix Gateway Client或移动到另一个Citrix Gateway。 |