配置地址池
在某些情况下,连接到Citrix Gateway插件的用户需要一个Citrix Gateway的唯一IP地址。例如,在Samba环境中,每个连接到映射的网络驱动器的用户都需要看起来来自不同的IP地址。当您为组启用地址池(也称为IP池)时,Citrix Gateway可以为每个用户分配唯一的IP地址别名。
通过内网IP地址配置地址池。以下类型的应用程序可能需要使用从IP池中提取的唯一IP地址:
- 通过IP语音
- 主动FTP
- 即时消息
- 安全shell(SSH)
- 连接到计算机桌面的虚拟网络计算(VNC)
- 远程桌面(RDP)连接到客户端桌面
通过配置“Citrix Gateway”,为连接Citrix Gateway的用户分配内部IP地址。静态IP地址可以分配给用户,也可以分配给组、虚拟服务器或全局系统的IP地址范围。
Citrix网关允许您将内部网络的IP地址分配给远程用户。内部网络上的IP地址可以寻址远程用户。如果选择使用某一范围的IP地址,系统会根据需要动态地将该范围内的IP地址分配给远程用户。
配置地址池时,需要注意以下几点:
- 分配的IP地址必须正确路由。为了确保正确的路由,请考虑以下内容:
- 如果未启用拆分隧道,请确保IP地址可以通过网络地址转换(NAT)设备路由。
- 任何由具有intranet IP地址的用户连接访问的服务器都必须配置适当的网关以访问这些网络。
- 在Citrix Gateway上配置网关或静态路由,将用户软件的流量路由到内部网络。
- 分配IP地址范围时,只能使用连续子网掩码。可以将范围的子集指定给较低级别的图元。例如,如果IP地址范围绑定到虚拟服务器,请将该范围的子集绑定到组。
- IP地址范围不能与绑定级别内的多个实体绑定。例如,绑定到一个组的地址范围的子集不能绑定到第二个组。
- Citrix网关不允许您在用户会话正在使用IP地址时删除或解除绑定IP地址。
- 内部网络的IP地址分配规则如下:
- 用户的直接绑定
- 组分配地址池
- 虚拟服务器分配的地址池
- 全局地址范围
- 分配地址范围时只能使用连续子网掩码。但是,可以将指定范围的子集进一步指定给较低级别的实体。绑定的全局地址范围可以绑定到以下地址:
- 虚拟服务器
- 组
- 用户
- 绑定的虚拟服务器地址范围可以绑定以下子集:
- 组
- 用户
绑定的组地址范围可以为用户绑定子集。
当为用户分配IP地址时,该地址将保留给用户下一次登录,直到地址池范围耗尽。当地址用完后,Citrix Gateway会向从Citrix Gateway注销时间最长的用户回收IP地址。
如果某个地址无法回收,且所有地址都在积极使用,则Citrix Gateway不允许该用户登录。您可以通过允许Citrix Gateway在所有其他IP地址都不可用时使用映射的IP地址作为内网IP地址来避免这种情况。
内部网IP DNS注册
如果为客户端分配了内网IP,在VIP隧道建立后,VPN插件会检查客户端是否加入域。如果客户端是加入域的机器,则VPN插件会发起DNS注册,将机器的主机名intranet与分配的内网IP地址绑定在一起。该注册在隧道去建立之前被恢复。
为了成功注册DNS,请确保以下内容nsapimgr旋钮设置。还要确保权威DNS服务器设置为允许“不安全”DNS更新。
nsapimgr-ys enable_vpn_dns_override=1:与其他配置参数一起发送给NetScaler Gateway VPN客户端。如果不设置该标志,当VPN客户端拦截到DNS/WINS请求时,通过隧道向NetScaler网关虚拟服务器发送相应的“GET /DNS”HTTP请求,获取解析后的IP地址。但是,如果设置了“enable_vpn_dnstruncate_fix”标志,则VPN客户端将DNS/WINS请求透明地转发给NetScaler Gateway虚拟服务器。此时,DNS报文将以原样通过VPN隧道发送到NetScaler Gateway虚拟服务器。当从NetScaler网关中配置的名称服务器返回的DNS记录非常大,不适合在UPD响应报文中时,这很有帮助。在这种情况下,当客户端返回使用TCP-DNS时,该TCP-DNS报文按原样到达NetScaler Gateway服务器,因此NetScaler Gateway服务器向DNS服务器进行TCP-DNS查询。nsapimgr y enable_vpn_dnstruncate_fix = 1:此标志由NetScaler网关服务器本身使用。如果设置了此标志,NetScaler Gateway将覆盖到NetScaler Gateway上配置的DNS服务器的“TCP-connections on DNS-port”的目的地(而不是试图将它们发送到传入的TCP-DNS报文中最初存在的DNS-server- ip)。对于UDP类型的DNS请求,默认使用已配置的DNS服务器进行DNS解析。
有关设置这些旋钮的更多信息,请参见https://support.citrix.com/article/CTX200243.
配置用户、组或虚拟服务器的地址池
- 在配置实用程序的导航窗格中,展开Citrix网关,做以下其中之一:
- 展开“Citrix Gateway User Administration”,然后单击AAA级用户.
- 扩大Citrix网关>用户管理然后点击AAA组.
- 扩大Citrix网关然后点击虚拟服务器.
- 在详细信息窗格中,单击用户、组或虚拟服务器,然后单击打开.
- 上内部网IPs页签,在“IP地址”和“子网掩码”中输入IP地址和子网掩码,单击添加.
- 对要添加到池中的每个IP地址重复步骤3,然后单击好吧.
全局配置地址池
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置.
- 在详细信息窗格中,在内部网IPs,单击以分配唯一的静态IP地址或IP地址池,供所有客户端Citrix网关会话使用,配置内部网IP。
- 在局域网ip绑定对话框中,单击行动,然后点击插入.
- 2 .在“IP地址”和“子网掩码”中输入IP地址和子网掩码,单击添加.
- 对要添加到池中的每个IP地址重复步骤3和4,然后单击好吧.
定义地址池选项
您可以使用会话策略或全局Citrix网关设置来控制是否在用户会话时分配内网IP地址。定义地址池选项允许您为Citrix Gateway分配内网IP地址,同时禁止对特定用户组使用内网IP地址。
您可以通过以下三种方式之一使用会话策略来配置地址池:
Nospillover—为内网IP地址配置地址池时,将从地址池中获取一个可用IP地址的会话。对于已经使用了所有可用内网IP地址的用户,会出现“转移登录”界面。- 溢出—当配置地址池且映射的IP地址作为内网IP地址时,映射的IP地址用于已经使用了所有可用内网IP地址的用户。
- 从—未配置地址池。
注:
如果没有配置映射的IP地址,则使用SNIP。
定义地址池的步骤
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略,然后点击会话.
- 在详细信息窗格中,在政策选项卡,单击添加.
- 在的名字,键入策略的名称。
- 旁边请求配置文件,点击新.
- 在名称中,键入概要文件的名称。
- 上网络配置选项卡,单击先进的.
- “内网IP”后,单击覆盖全局然后选择一个选项。
- 如果您选择溢出在步骤9中,单击映射IP旁边的覆盖全局,选择该设备的主机名,单击好吧,然后点击创建.
- 在创建会话策略对话框中,创建表达式,单击创造然后点击关.
配置转账登录界面
如果用户没有可用的内网IP地址,然后试图与Citrix Gateway建立另一个会话,则会出现转移登录页面。Transfer Login页面允许用户用新的会话替换现有的Citrix Gateway会话。
如果注销请求丢失,或者用户没有执行干净的注销,也可以使用Transfer Login页面。例如:
- 用户被分配一个静态内网IP地址,并且已经有一个Citrix Gateway会话。如果用户试图从另一个设备建立第二个会话,则会出现Transfer Login页面,用户可以将会话转移到新设备。
- 一个用户通过“Citrix Gateway”为其分配了5个内网IP地址和5个会话。如果用户试图建立第6个会话,则会出现Transfer Login页面,用户可以选择用新会话替换现有会话。
注:
如果用户没有可用的指定IP地址,并且无法使用传输登录页面建立新的>会话,则用户将收到错误消息。
仅当配置地址池并禁用溢出时,才会显示传输登录页面。
配置DNS后缀
当用户登录到Citrix Gateway并被分配IP地址时,用户名和IP地址组合的DNS记录将添加到Citrix Gateway DNS缓存中。您可以将DNS后缀配置为在将DNS记录添加到缓存时附加到用户名。这允许用户通过DNS名称进行引用,DNS名称比IP地址更容易记住。当用户从Citrix网关注销时,该记录将从DNS缓存中删除。
配置DNS后缀的步骤
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略,然后点击会话.
- 在详细信息窗格中,在政策选择“会话策略”页签,单击打开.
- 在“请求配置文件”旁边,单击修改.
- 上网络配置选项卡,单击先进的.
- “内网IP DNS后缀”后,单击覆盖全局,键入DNS后缀,然后单击好吧三次。