创建虚拟服务器
虚拟服务器是用户登录的访问点。每个虚拟服务器都有自己的IP地址、证书和策略集。虚拟服务器由IP地址、端口和接受传入流量的协议组成。虚拟服务器包含用户登录到设备时的连接设置。您可以在虚拟服务器上配置以下设置:
- 证书
- 身份验证
- 政策
- 书签
- 地址池(也称为IP池或内网IP)
- 使用Citrix Gateway进行双跳DMZ部署
- 安全的票权威
- SmartAccess ICA代理会话传输
如果运行Citrix网关向导,则可以在向导期间创建虚拟服务器。您可以通过以下方式配置更多虚拟服务器:
- 从虚拟服务器节点。该节点位于配置实用程序的导航窗格中。您可以使用配置实用程序添加、编辑和删除虚拟服务器。
- 使用快速配置向导。如果在环境中部署Citrix Endpoint Management、StoreFront或Web Interface,则可以使用Quick Configuration向导创建虚拟服务器和部署所需的所有策略。
如果用户希望用户登录时使用特定的认证方式(如RADIUS认证),可以配置虚拟服务器,并为服务器分配唯一的IP地址。当用户登录时,会将用户定向到虚拟服务器,然后提示用户输入RADIUS凭证。
您还可以配置用户登录Citrix Gateway的方式。通过会话策略可以配置用户软件的类型、访问方式以及用户登录后看到的首页。
创建虚拟服务器
您可以通过Citrix Gateway GUI界面或快速配置向导添加、修改、启用、禁用和移除虚拟服务器。有关使用快速配置向导配置虚拟服务器的详细信息,请参见使用快速配置向导配置设置。
使用GUI创建虚拟服务器
- 导航到Citrix网关>虚拟服务器。
- 在详细信息窗格中,单击添加。
- 按照您的要求配置这些设置。
- 点击创建然后点击关闭。
通过命令行创建虚拟服务器
在命令提示符处,输入;
add vpn vserver [ [] 例子:
add vpn vserver gatewayserver SSL 1.1.1.1 443 虚拟服务器显示在“Citrix网关虚拟服务器”页面中。
将网络配置文件绑定到VPN虚拟服务器时需要注意的事项
通过创建网络配置文件(network profile),将设备配置为使用指定的源IP地址,并将网络配置文件与VPN虚拟服务器绑定。但在绑定VPN虚拟服务器时,需要注意以下几点。
将网络配置文件绑定到Citrix网关虚拟服务器时,网络配置文件不会选择虚拟服务器或服务用于后端服务器流量的特定SNIP。相反,网关设备忽略网络配置文件绑定,并使用循环方法来选择剪接。
Net配置文件不适用于动态生成的服务(STA、SF监视器)。对于STA和其他动态生成的服务,您可以将网络配置文件直接绑定到这些监控器,并且这些监控器将在该点使用。但是,如果在同一设备上有多个网关,则所有网关对配置的监视器使用相同的网络配置文件。
有关网络简介的更多细节,请参阅使用指定的源IP进行后端通信。
虚拟服务器当前用户和总连接用户
当前用户:登录到指定虚拟服务器的用户数。建议您监视当前用户以跟踪ccu。
总连接用户:通过特定虚拟服务器具有一个或多个活动连接的用户数。连接的用户总数主要用于ICA代理。
总接入用户数指标可用于以下场景:
假设建立了一个ICA连接,但没有建立相应的身份验证、授权和审计会话。在这种情况下,用户启动应用程序或桌面并关闭浏览器,继续在启动的应用程序或桌面上工作。认证、授权和审计会话超时,但连接仍处于活动状态。使用已连接用户总数来标识仍在连接的用户。
在HDX优化路由中,身份验证网关和ICA网关可以位于不同的设备上。在这种情况下,总连接用户数可用于确定ICA网关上的连接用户数。
点需要注意:
当有活动会话时(尚未超时),但在这些会话上没有活动连接时,当前用户超过总连接用户。例如,用户启动应用程序或桌面并立即关闭它,但没有从身份验证、授权和审计会话注销。
如果认证、授权和审计会话超时,但ICA连接仍处于活动状态,则总连接用户将超过当前用户。
在纯VPN场景下(不涉及ICA),当前用户数和总接入用户数相等。
在虚拟服务器上配置连接类型
在创建和配置虚拟服务器时,可以配置以下连接选项:
- 仅与Citrix Workspace应用程序连接到Citrix虚拟应用程序和台式机,而不具有SmartAccess、端点分析或网络层隧道功能。
- 与Citrix Gateway插件和SmartAccess连接,允许使用SmartAccess、端点分析和网络层隧道功能。
- 与安全Hub的连接,建立从移动设备到Citrix网关的Micro VPN连接。
- 由来自多个设备的用户通过ICA会话协议进行的并行连接。将连接迁移到单个会话,以防止使用多个Universal许可证。
如果希望用户在不使用用户软件的情况下登录虚拟服务器,可以配置无客户端访问策略,并将其与虚拟服务器绑定。
在虚拟服务器上配置基本或SmartAccess连接
- 导航到Citrix网关然后点击虚拟服务器。
- 在详细信息窗格中,单击添加。
- 在里面的名字,输入虚拟服务器的名称。
- 在里面IP地址和港口,输入虚拟服务器的IP地址和端口号。
- 做以下其中之一:
- 如果只允许ICA连接,单击基本模式。
- 要允许用户登录Secure Hub、Citrix Gateway插件和SmartAccess,请单击SmartAccess模式。
- 单击,SmartAccess可以管理多个用户连接的ICA代理会话ICA代理会话迁移。
- 配置虚拟服务器的其他设置,单击创建,然后单击关闭。
为通配符虚拟服务器配置侦听策略
您可以配置Citrix网关虚拟服务器,以限制虚拟服务器侦听特定VLAN的能力。您可以使用侦听策略创建通配符虚拟服务器,该策略将其限制为处理指定VLAN上的流量。
配置参数如下:
| 参数 | 描述 |
|---|---|
| 的名字 | 虚拟服务器的名称。名称是必需的,创建虚拟服务器后无法更改。名称不能超过127个字符,第一个字符必须是数字或字母。您还可以使用以下字符:at符号(@)、下划线(#)、短划线(-)、句点()、冒号(:)、磅符号(#)和空格。 |
| 知识产权 | 虚拟服务器的IP地址。对于VLAN绑定的通配符虚拟服务器,该值始终为*。 |
| 类型 | 服务的行为。您可以选择HTTP、SSL、FTP、TCP、SSL_TCP、UDP、SSL_桥、NNTP、DNS、ANY、SIP-UDP、DNS-TCP和RTSP。 |
| 港口 | 虚拟服务器侦听用户连接的端口。端口号必须介于0和65535之间。对于绑定到VLAN的通配符虚拟服务器,该值通常为*。 |
| 倾听优先权 | 分配给侦听策略的优先级。优先级按相反顺序计算;数字越小,分配给侦听策略的优先级越高。 |
| 听政策规则 | 用于识别虚拟服务器必须侦听的VLAN的策略规则。规则是:CLIENT.VLAN.ID.EQ (< ipaddressat >)< ipaddressat >,替换分配给VLAN的ID号。 |
创建带有监听策略的通配符虚拟服务器
- 在导航窗格中展开Citrix网关然后点击虚拟服务器。
- 在详细信息窗格中,单击添加。
- 在里面的名字,输入虚拟服务器的名称。
- 在里面协议,选择协议。
- 在里面IP地址,键入虚拟服务器的IP地址。
- 在里面港口,输入虚拟服务器的端口。
- 在先进的选项卡下的侦听策略,在倾听优先权,输入监听策略的优先级。
- 单击“监听策略规则”右侧的配置。
- 在创建表达式对话框中,单击添加,配置表达式,然后单击好吧。
- 点击创建然后点击关闭。