使用SSL VPN虚拟服务器配置DTLS VPN虚拟服务器
您可以使用与已配置的SSL VPN虚拟服务器相同的IP和端口号为Citrix ADC设备配置DTLS VPN虚拟服务器。通过配置DTLS VPN虚拟服务器,您可以将高级DTLS密码和证书绑定到DTLS流量,以增强安全性。从版本13.0 build 47.x开始,除了早期支持的DTLS 1.0协议外,还支持DTLS 1.2协议。
重要的是:
默认情况下,现有SSL VPN虚拟服务器的DTLS功能设置为启用。在创建DTLS VPN虚拟服务器之前,请禁用该服务器的功能。
SNI用于DTLS网关虚拟服务器的支持在Citrix gateway release 13.0 build 64中。x和。
从Citrix ADC发行版13.0 build 79.x开始
helloverifyrequest默认情况下,参数处于启用状态。启用helloverifyrequest参数有助于降低攻击者或机器人使网络吞吐量不堪重负、可能导致出站带宽耗尽的风险。减少DTLS的DDoS放大攻击。有关helloverifyrequest参数,请参阅迪泰概要.
点需要注意
Citrix ADC设备上的DTLS VPN虚拟服务器可以从版本13.0 build 58.x进行配置。
在Citrix ADC设备上配置DTLS VPN虚拟服务器之前,必须在该设备上配置SSL VPN虚拟服务器。
DTLS VPN虚拟服务器使用配置的SSL VPN虚拟服务器的IP地址和端口号。
如果DTLS握手失败,连接将退回到TLS。
如果只使用DTLS,可以通过只将DTLS加密绑定到DTLS流量来禁用TLS。
当TCP流量通过VPN隧道传输时,不支持DTLS多路复用。
使用GUI配置DTLS VPN虚拟服务器
- 在“配置”选项卡上,导航到Citrix网关>虚拟服务器.
- 在Citrix网关虚拟服务器选中已有的SSL VPN虚拟服务器,单击编辑.
在VPN虚拟服务器页面上,单击编辑图标并清除迪泰选中复选框并单击好吧.
![清除DTLS复选框]()
单击屏幕上的后退箭头图标VPN虚拟服务器导航到Citrix网关虚拟服务器翻页并单击添加.
![虚拟服务器页面]()
在下面基本设置,输入以下字段的值,然后单击好吧.
- 名称-DTLS VPN虚拟服务器的名称
- 协议-从下拉列表菜单中选择DTLS
- IP地址- SSL VPN虚拟服务器的IP地址
- 端口–输入SSL VPN虚拟服务器端口号。
![添加虚拟服务器]()
在虚拟服务器页,单击下面的箭头证书选择所需的证书密钥。您可以使用现有的SSL证书密钥,也可以创建一个。单击所需证书密钥旁边的单选按钮并单击选择.
![选择证书密钥]()
点击绑定上服务器证书绑定页
![绑定证书密钥]()
要使用DTLS 1.2,请启用相同的功能。上虚拟服务器页面上,单击SSL参数下的编辑图标。使可能DTLS 1.2选中复选框并单击好吧.
注意:
- DTLS类型的VPN虚拟服务器支持服务器名称指示(SNI)。
![启用DTLS 1.2]()
DTLS VPN虚拟服务器配置现已完成。
使用CLI配置DTLS VPN虚拟服务器
在命令提示符处,输入以下几组命令:
设置vpn vserver-dtls关闭添加vpn vserverdtls绑定ssl vservser-certkeyName<现有ssl证书密钥或新创建的证书密钥><--需要复制--> DTLS 1.0正常工作,要使用DTLS 1.2,请键入以下命令:
设置ssl vserver-dtls12已启用<--需要复制--> 实例
set vpnvserver vpnvserver_dtls off add vpnvserver vpnvserver_dtls 10.108.45.220 443 bind ssl vserver vpnvserver_dtls -certkeyName sslcertkey set ssl vserver vpnvserver_dtls -dtls12 ENABLED 要为DTLS类型的VPN虚拟服务器启用SNI,请键入以下命令:
设置ssl vserver@[-sniaEnable(ENABLED | DISABLED)绑定ssl vservser-certkeyName<现有ssl证书密钥或新创建的证书密钥><-SNICert><!--NeedCopy--> 实例
设置ssl vserver XD_10.106.40.225_443_DTLS-启用SNIAEnable绑定ssl vserver XD_10.106.40.225_443_DTLS-certkeyName“Insight/*.Insight.net.cer_CERT”-snICert<--需要复制-->支持的DTLS VPN虚拟服务器参数列表如下:
IP地址- 港口城市
- 状态
- 双跳
向下状态冲洗- 评论
AppflowlogICMPVSR响应
使用XA/XD向导配置DTLS虚拟服务器
在XA/XD设置向导上,选择店面点击持续.
![XA/XD安装向导]()
在Citrix网关设置第页,启用为此VPN VServer配置DTLS侦听器选中复选框并单击持续.
![Citrix网关设置页面]()
注意,DTLS侦听器现在已经配置好了。点击选择文件要选择服务器证书,请单击持续.
![选择服务器证书]()
输入证书文件和密钥文件名称,单击持续.
![指定证书文件和密钥文件名]()
在“店面”部分下,提供所需参数的值,如下所示,然后单击持续.
![店面部]()
提供所需参数的值,如下所示,然后单击测试连接.
![测试连接]()
确保服务器可达,输入“超时时间”和“服务器登录名属性”,单击持续.
![指定配置值]()
最后,点击完成完成配置。
![配置完成]()
局限性
- DTLS 1.2仅在Windows客户端上受支持。
- DTLS VPN虚拟服务器上不支持SSL策略和SSL配置文件。此外,不支持VPN虚拟服务器策略的绑定。
- DTLS VPN虚拟服务器不支持以下功能。
- 统一网关与内容交换虚拟服务器
- PCOIP
- UDP MUX
- 其他UDP流量
- UDP音频
- 这个
statvpn虚拟服务器不支持DTLS VPN虚拟服务器统计相关命令。 - DTLS虚拟服务器不支持HSM键。