配置VPN用户体验
在Citrix网关12.1
在Citrix网关
在所有产品中
产品文档
配置VPN用户体验
在Citrix网关12.1
在Citrix网关
在所有产品中
Citrix Gateway.
当前版本 13.0 12.1
查看PDF.

配置地址池

2020年10月5日
由:
C

在某些情况下,连接到Citrix Gateway插件的用户需要一个Citrix Gateway的唯一IP地址。例如,在Samba环境中,每个连接到映射的网络驱动器的用户都需要看起来来自不同的IP地址。当您为组启用地址池(也称为IP池)时,Citrix Gateway可以为每个用户分配唯一的IP地址别名。

您使用Intranet IP地址配置地址池。以下类型的应用程序可能需要使用从IP池中汲取的唯一IP地址:

  • 通过IP语音
  • 活跃的ftp.
  • 即时通讯
  • Secure shell (SSH)
  • 虚拟网络计算(VNC)连接到计算机桌面
  • RDP (Remote desktop),用于连接客户端桌面

通过配置“Citrix Gateway”,为连接Citrix Gateway的用户分配内部IP地址。静态IP地址可以分配给用户,也可以分配给组、虚拟服务器或全局系统的IP地址范围。

Citrix Gateway允许您从内部网络分配IP地址给远程用户。远程用户可以通过内部网络中的IP地址进行寻址。如果您选择使用一个IP地址范围,系统将根据需要从该范围动态地分配一个IP地址给远程用户。

配置地址池时,请注意以下内容:

  • 已分配的IP地址必须正确路由。为了确保正确的路由,请考虑以下几点:
    • 如果没有启用拆分隧道功能,请确保这些IP地址可以通过NAT设备路由。
    • 用户通过内网IP地址访问的任何服务器都必须配置正确的网关,以访问这些网络。
    • 配置Citrix Gateway上的网关或静态路由,以便从用户软件的网络流量路由到内部网络。
  • 分配IP地址范围时,只能使用连续的子网掩码。范围的子集可以分配给较低级别的实体。例如,如果一个IP地址范围绑定了一个虚拟服务器,可以将该IP地址范围的一个子集绑定到一个组中。
  • IP地址范围不能与绑定级别内的多个实体绑定。例如,绑定到一个组的地址范围的子集不能绑定到第二个组。
  • Citrix Gateway不允许您删除或解除绑定的IP地址,当它们正在被用户会话积极使用时。
  • 使用以下层次结构分配内部网络IP地址:
    • 用户的直接绑定
    • 组分配地址池
    • 虚拟服务器分配的地址池
    • 全局地址范围
  • 只能使用连续的子网掩码来分配地址范围。但是,一个已分配范围的子集可能会被进一步分配给一个较低级别的实体。绑定的全局地址范围可以绑定到以下地址范围:
    • 虚拟服务器
    • 集团
    • 用户
  • 绑定的虚拟服务器地址范围可以绑定以下子集:
    • 集团
    • 用户

绑定的组地址范围可以为用户绑定子集。

当将IP地址分配给用户时,为用户的下一个登录保留地址,直到地址池范围耗尽。当地址耗尽时,Citrix Gateway回收来自Citrix Gateway最长的用户的IP地址。

如果某个地址无法回收,且所有地址都在积极使用,则Citrix Gateway不允许该用户登录。您可以通过允许Citrix Gateway在所有其他IP地址都不可用时使用映射的IP地址作为内网IP地址来避免这种情况。

内网IP DNS注册

如果为客户端分配了内网IP,在建立VIP隧道后,VPN插件会检查客户端是否加入域。如果客户端是加入域的机器,则VPN插件会发起DNS注册,将机器的主机名intranet与分配的内网IP地址绑定在一起。该注册在隧道去建立之前被恢复。

为了成功注册DNS,请确保设置了以下的nsapimgr旋钮。还要确保权威DNS服务器设置为允许“不安全”DNS更新。

  • nsapimgr y enable_vpn_dns_override = 1:与其他配置参数一起发送给NetScaler Gateway VPN客户端。如果不设置该标志,当VPN客户端拦截到DNS/WINS请求时,通过隧道向NetScaler网关虚拟服务器发送一个“GET /DNS”http-request,获取解析后的IP地址。但是,如果设置了“enable_vpn_dnstruncate_fix”标志,则VPN客户端将DNS/WINS请求透明地转发给NetScaler Gateway虚拟服务器。此时,DNS报文将以原样通过VPN隧道发送到NetScaler Gateway虚拟服务器。当从NetScaler网关中配置的名称服务器返回的DNS记录非常大,不适合在UPD响应报文中时,这很有帮助。在这种情况下,当客户端返回使用TCP-DNS时,该TCP-DNS报文按原样到达NetScaler Gateway服务器,因此NetScaler Gateway服务器向DNS服务器进行TCP-DNS查询。

  • nsapimgr -ys enable_vpn_dnstruncate_fix = 1:此标志由NetScaler网关服务器本身使用。如果设置了此标志,NetScaler Gateway将覆盖“DNS-port上的tcp连接”到NetScaler Gateway上配置的DNS服务器的目的地(而不是试图将它们发送到传入的TCP-DNS报文中最初存在的DNS-server- ip)。对于UDP类型的DNS请求,默认使用已配置的DNS服务器进行DNS解析。

有关设置这些旋钮的更多信息,请参阅https://support.citrix.com/article/ctx200243.

配置地址池
2020年10月5日
由:
C
2020年10月5日
由:
C

在这篇文章中

网站反馈 | 隐私和法律术语 | 饼干的偏好 | 同意设置
©1999 -Citrix Systems,Inc。保留所有权利。