总是在
Citrix网关的Always On特性保证了用户始终连接到企业网络。这种持久的VPN连接是通过自动建立VPN隧道来实现的。
请注意
始终在线功能支持Citrix ADC 12.0 Build 51.24及更高版本的捕获门户。
何时使用“始终打开”
当需要根据用户的位置提供无缝的VPN连接,并且需要防止未连接VPN的用户访问网络时,请使用Always On。
以下场景说明了“始终打开”的使用。
- 某员工在企业网络外启动笔记本电脑,需要帮助建立VPN连接。
解决方案:当笔记本电脑在企业网络外部启动时,“始终开启”将无缝地建立隧道并提供VPN连接。 - 使用VPN连接的员工进入企业网络。员工被切换到企业网络,但仍然连接到VPN隧道,这不是理想的状态。
解决方案:当员工进入企业网络时,“始终开启”会拆除VPN通道,并将员工无缝切换到企业网络。 - 员工离开企业网络并关闭笔记本电脑(而不是关机)。员工在恢复笔记本电脑上的工作时需要帮助以建立VPN连接。
解决方案:当员工移动到企业网络之外时,“始终开启”将无缝地建立隧道并提供VPN连接。 - 当用户未连接到VPN隧道时,企业希望对其提供的网络访问进行管理。
解决方案:根据配置,“始终打开”限制访问,仅允许用户访问网关网络。
理解始终在线的框架
“始终打开”自动将用户连接到客户端先前建立的VPN隧道。用户第一次需要VPN隧道时,必须连接到Citrix网关URL并建立隧道。将常开配置下载到客户端后,此配置将驱动隧道的后续建立。
Citrix Gateway客户端可执行文件总是在客户端机器上运行。当用户登录或网络发生变化时,Citrix Gateway客户端判断用户的笔记本电脑是否在企业网络中。根据位置和配置,Citrix Gateway客户端要么建立隧道,要么拆除现有隧道。
隧道建立仅在用户登录到计算机后启动。Citrix网关客户端使用客户端计算机的凭据向网关服务器进行身份验证,并尝试建立隧道。
隧道的自动重建
当Citrix网关拆除VPN隧道时,会触发隧道的自动重建。
请注意
在端点分析失败时,Citrix Gateway客户端不会重新尝试建立隧道,但会显示错误消息。如果身份验证失败,则Citrix Gateway客户端提示用户输入凭据。
支持无缝隧道建立的用户身份验证方法
支持的用户身份验证方法如下:
- 用户名+ AD密码:如果使用Windows用户名和密码进行认证,则Citrix Gateway客户端将通过这些凭证无缝地建立隧道。
- 用户证书:如果使用用户证书进行身份验证,且机器上只有一个证书,则Citrix Gateway客户端将使用该证书无缝地建立隧道。如果安装了多个客户端证书,则用户选择首选证书后,隧道将建立。Citrix Gateway客户端将此首选项用于以后建立的隧道。
- 用户证书和用户名+AD密码:此身份验证方法是前面描述的身份验证方法的组合。
请注意
支持所有其他身份验证机制,但对于任何其他身份验证方法,隧道建立都不是无缝的。所有其他身份验证方法都需要用户干预。
始终开启的配置要求
企业管理员必须对受管设备强制执行以下操作:
- 对于特定配置,用户必须无法结束进程/服务
- 用户不能卸载特定配置的软件包
- 用户不能更改特定的注册表项
请注意
如果用户具有管理权限(如非托管设备),则该功能可能无法按预期工作。
启用Always On特性时的注意事项
在启用常开功能之前,请查看以下部分。
主网络访问:当隧道建立时,到企业网络的通信量根据拆分隧道配置决定。未提供其他配置来覆盖此行为。
客户端计算机的代理设置:连接到网关服务器时忽略客户端计算机的代理设置。
请注意
Citrix ADC设备的代理配置不会被忽略。仅忽略客户端计算机的代理设置。在其系统上配置了代理的用户将被通知VPN插件已忽略其代理设置。
当配置值设置为“拒绝”时,将应用以下更改:
- 客户端UI—禁用插件上下文菜单和插件UI中的注销和退出选项。不允许用户更改网关URL。
- 浏览器登录-不允许浏览器登录到不同的网关。禁用客户端控件。
配置始终打开
要配置始终开启,请在Citrix网关设备上创建一个始终开启配置文件,并应用该配置文件。
要创建Always On profile:
- 在Citrix ADC GUI中,导航到配置> Citrix网关>策略>
阿尔韦森. - 在
阿尔韦森配置文件页面,点击添加. - 在创造
阿尔韦森轮廓页面中,输入以下详细信息:- 名称–您的个人资料的名称。
- **基于位置的VPN(客户端注册表名称:LocationDetection)–选择以下设置之一:
- 遥远的使客户端能够检测自己是否在企业网络中,如果不在企业网络中,可以建立隧道。Remote是默认设置。
- 到处都是让客户端跳过位置检测,而不考虑客户端所在的位置而建立隧道
- 客户端控制–选择以下设置之一:
- 否认防止用户注销并连接到其他网关。拒绝是默认设置。
- 允许使用户能够注销并连接到另一个网关。
- VPN故障时的网络访问(客户端注册表名:AlwaysOn)–选择以下设置之一:
- 完全访问当隧道未建立时,允许网络流量进出客户端。默认设置为完全访问。
只到网关在未建立隧道时,防止网络流量流入或流出客户端。但是,允许进出网关IP地址的通信量。
注意:在里面只到网关模式下,只有虚拟服务器、DNS和DHCP通信被解除阻止。要取消阻止其他网站、IP地址范围或IP地址,必须设置
白名单带有分号分隔的FQDN、IP地址范围或IP地址列表的注册表。例如,mycompany.com、mycdn.com、10.120.67.0-10.120.67.255、67.67.67.67
- 点击创造完成配置文件的创建。
要应用Always On配置文件:
- 在Citrix ADC界面中,选择配置>Citrix网关>全局设置.
- 在“全局设置”页面上,单击更改全局设置链接,然后选择客户体验标签。
- 从AlwaysON配置文件名下拉菜单,选择新创建的配置文件,然后单击好啊.
请注意
可以在会话配置文件中进行类似配置,以便在组级别、服务器级别或用户级别应用策略。
国际投资头寸说明
机器级隧道使用基于证书的身份验证,并且创建的会话使用证书的公共名称作为用户名。因此,如果设备证书具有唯一的公共名称,那么不同机器的会话将具有不同的用户名,从而产生不同的ip。请确保生成的设备证书名称是唯一的。理想情况下,必须使用机器名作为设备证书的通用名称。
管理员用户和非管理员用户的不同配置的行为摘要
下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响“始终在线”功能。
| 网络访问VPN失败 | 客户端控制 | 非管理员用户 | 管理用户 |
|---|---|---|---|
完全访问 |
允许 | 隧道会自动建立起来。用户可以注销并远离网络。用户还可以指向另一个Citrix网关。 | 隧道将自动建立。用户可以注销并退出企业网络。用户还可以指向另一个Citrix网关。 |
完全访问 |
否认 | 隧道将自动建立。用户无法注销或指向其他Citrix网关。 | 隧道将自动建立。用户可以卸载Citrix网关客户端或移动到另一个Citrix网关。 |
| 唯一网关 | 允许 | 隧道会自动建立起来。用户可以注销(没有网络访问)。用户还可以指向另一个Citrix Gateway,在这种情况下,访问权限只授予新指向的Citrix Gateway。 | 隧道将自动建立。用户可以卸载Citrix网关客户端或移动到另一个Citrix网关。 |
| 唯一网关 | 否认 | 隧道将自动建立。用户无法注销或指向其他Citrix网关。 | 隧道将自动建立。用户可以卸载Citrix网关客户端或移动到另一个Citrix网关。 |
当“始终打开”处于关闭状态时白名单URL
用户可以访问一些网站,即使“始终打开”处于关闭状态且网络处于锁定状态。管理员可以使用白名单注册表,以添加在“始终打开”关闭时要启用访问的网站。
注意:
- 白名单13.0版build 47.x及更高版本支持注册表。
- 白名单注册表位置为Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client。
- 文件中不支持通配符url /FQDNs白名单登记处。
设置AlwaysOn白名单注册表
设定白名单以分号分隔的FQDN、IP地址范围或您要允许访问的IP地址列表的注册表。
例子:example.citrix.com;10.103.184.156;10.102.0.0-10.102.255.100
下图显示了一个示例白名单登记处。
