一直在
Citrix网关的常开功能确保用户始终连接到企业网络。这种持久的VPN连接是通过自动建立VPN隧道来实现的。
笔记
Always On特性支持Citrix ADC 12.0 Build 51.24及更高版本的专属门户。
何时使用Always On
当您需要基于用户位置提供无缝VPN连接并且必须阻止未连接到VPN的用户访问网络时,请使用“始终打开”。
下面的场景演示了Always On的使用。
- 员工在企业网络外启动笔记本电脑,需要帮助建立VPN连接。
解决方案:当笔记本电脑在企业网络之外启动时,Always On可以无缝建立隧道,提供VPN连接。 - 使用VPN连接的员工进入企业网络。员工切换到企业网络,但仍然连接VPN隧道,这是不理想的状态。
解决方案:当员工进入企业网络时,Always On会断开VPN隧道,将员工无缝切换到企业网络。 - 员工离开企业网络并关闭了笔记本电脑(不是关闭)。员工在笔记本电脑上恢复工作后,需要帮助建立VPN连接。
解决方案:当员工离开企业网络时,Always On可以无缝建立隧道,提供VPN连接。 - 某企业希望规范用户未接入VPN隧道时的网络接入。
解决方案:根据配置,Always on限制访问,只允许用户访问网关网络。
理解Always On框架
“Always On”自动将用户连接到客户端之前建立的VPN隧道。用户第一次需要建立VPN隧道时,必须先连接Citrix Gateway URL并建立隧道。下载Always On配置到客户端后,驱动后续隧道的建立。
Citrix网关客户端可执行文件始终在客户端计算机上运行。当用户登录或网络更改时,Citrix网关客户端将确定用户笔记本电脑是否位于企业网络上。根据位置和配置,Citrix网关客户端要么建立隧道,要么拆除现有隧道。
只有在用户登录计算机后,才会启动隧道建立。Citrix Gateway客户端使用客户端机器的凭据与网关服务器进行身份验证,并尝试建立隧道。
隧道自动重建
当VPN隧道被Citrix Gateway拆除时,会触发隧道自动重建。
笔记
在端点分析失败时,Citrix网关客户端不会重新尝试建立隧道,但会显示错误消息。如果身份验证失败,Citrix网关客户端将提示用户输入凭据。
支持无缝隧道建立的用户认证方式
支持的用户认证方式如下:
- 用户名+AD密码:如果Windows用户名和密码用于身份验证,Citrix网关客户端将使用这些凭据无缝地建立隧道。
- 用户证书:如果用户证书用于身份验证,并且计算机上只有一个证书,Citrix网关客户端将使用此证书无缝地建立隧道。如果安装了多个客户端证书,则在用户选择首选证书后建立隧道。Citrix网关客户端将此首选项用于以后建立的隧道。
- “用户证书”和“用户名+ AD密码”:是上述认证方式的结合。
笔记
支持所有其他身份验证机制,但隧道的建立对任何其他身份验证方法都不是无缝的。所有其他身份验证方法都需要用户干预。
始终开机的配置要求
企业管理员需要对被管理设备实施以下管理措施:
- 用户必须不能结束特定配置的进程/服务
- 用户必须不能卸载特定配置的包
- 用户不能更改特定的注册表项
笔记
如果用户具有管理特权(如在非托管设备中),则该特性可能无法按预期工作。
启用“始终打开”功能时的注意事项
在启用Always On特性之前,请查看以下部分。
主网络接入:隧道建立后,根据分离隧道的配置决定访问企业网络的流量。没有提供其他配置来覆盖此行为。
客户端机器代理设置:连接网关服务器时,忽略客户端机器的代理设置。
笔记
不会忽略Citrix ADC设备的代理配置。只忽略客户端机器的代理设置。在系统上配置了代理的用户会被通知,VPN插件已经忽略了他们的代理设置。
当配置值设置为“Deny”时,会有以下更改:
- 客户端UI -插件上下文菜单和插件UI中的注销和退出选项被禁用。不允许用户修改网关URL。
- 浏览器登录-不允许浏览器登录到其他网关。客户端控件被禁用。
配置总在
要配置Always On,请在Citrix Gateway设备上创建Always On配置文件并应用该配置文件。
要创建始终打开的配置文件,请执行以下操作:
- 在Citrix ADC GUI中,导航到配置>Citrix网关>策略>
AlwaysON. - 上
AlwaysON轮廓第页,单击添加. - 上创建
AlwaysON配置文件页面,输入以下详细信息:- 的名字-您的配置文件的名称。
- **基于位置的VPN(客户端注册表名称:LocationDetection) -选择以下设置之一:
- 远程使客户端能够检测它是否在企业网络中,如果不在企业网络中,则建立隧道。远程是默认设置。
- 处处让客户端跳过位置检测并建立客户端位置的无隧道
- 客户端控制—选择以下设置:
- 否认防止用户注销并连接到其他网关。Deny是默认设置。
- 允许允许用户注销并连接到另一个网关。
- VPN网络访问失败(客户端注册表名称:AlwaysOn)—选择以下设置:
- 完全访问当隧道未建立时,允许网络流量进出客户端。完全访问是默认设置。
只有网关在隧道未建立的情况下,防止网络流量从客户端流入或流出。但是,进出网关IP地址的流量是允许的。
注:在只有网关模式下,仅对虚拟服务器、DNS和DHCP流量解除阻断。要解除屏蔽其他网站、IP地址范围或IP地址,必须设置
alwaysonwhitelist使用分号分隔的FQDNs、IP地址范围或IP地址列表注册表。例如,mycompany.com, mycdn.com, 10.120.67.0-10.120.67.255 67.67.67.67
- 点击创建完成创建您的个人资料。
要应用“始终打开”配置文件,请执行以下操作:
- 在“Citrix ADC”界面中,选择配置> Citrix网关>全局配置.
- 在“全局设置”页面,单击更改全局设置链接,然后选择客户体验选项卡。
- 从AlwaysON配置文件名称下拉菜单,选择新创建的配置文件,并单击好吧.
笔记
在Session配置文件中也可以进行类似的配置,以便在组级别、服务器级别或用户级别应用策略。
注意在国际信息局
机器级隧道使用基于证书的身份验证,并且创建的会话将证书的公用名作为用户名。因此,如果设备证书具有唯一的通用名称,则不同机器的会话具有不同的用户名,从而具有不同的IIP。确保生成具有唯一名称的设备证书。理想情况下,您必须使用机器名作为设备证书的通用名。
admin用户和非admin用户不同配置的行为汇总
下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响Always On功能。
| networkAccessONVPNFailure | 客户端控制 | 非管理用户 | 管理员用户 |
|---|---|---|---|
fullaccess |
允许 | 隧道将自动建立。用户可以注销并退出网络。用户还可以指向另一个Citrix网关。 | 隧道会自动建立起来。用户可以注销,远离企业网。用户还可以指向另一个Citrix网关。 |
fullaccess |
否认 | 隧道会自动建立起来。用户无法注销或指向另一个Citrix网关。 | 隧道会自动建立起来。用户可以卸载Citrix Gateway Client或移动到其他Citrix Gateway。 |
| onlyToGateway | 允许 | 隧道将自动建立。用户可以注销(无网络访问)。用户还可以指向另一个Citrix网关,在这种情况下,只允许访问新指向的Citrix网关。 | 隧道会自动建立起来。用户可以卸载Citrix Gateway Client或移动到其他Citrix Gateway。 |
| onlyToGateway | 否认 | 隧道会自动建立起来。用户无法注销或指向另一个Citrix网关。 | 隧道会自动建立起来。用户可以卸载Citrix Gateway Client或移动到其他Citrix Gateway。 |
“Always On”状态下的白名单url
用户即使在“Always On”关闭、网络被锁定的情况下,也可以访问少数网站。管理员可以使用AlwaysOnWhitelist注册表以添加您想要在Always On关闭时启用访问的网站。
注:
- AlwaysOnWhitelist注册表从release 13.0 build 47得到支持。x和。
- AlwaysOnWhitelist注册表位置为Computer\HKEY\U LOCAL\U MACHINE\SOFTWARE\Citrix\Secure Access Client。
- 中不支持通配符URL/FQDNAlwaysOnWhitelist注册表。
设置AlwaysOnWhitelist注册表
设置AlwaysOnWhitelist使用分号分隔的FQDNs、IP地址范围或您希望允许访问的IP地址列表注册表。
例子:example.citrix.com; 10.103.184.156 10.102.0.0-10.102.255.100
下图显示了一个示例AlwaysOnWhitelist注册表。
