配置地址池
在某些情况下,连接Citrix网关插件的用户需要Citrix网关的唯一IP地址。例如,在Samba环境中,连接到映射网络驱动器的每个用户都需要看起来来自不同的IP地址。为组启用地址池(也称为IP池)时,Citrix网关可以为每个用户分配唯一的IP地址别名。
您可以使用intranet IP地址配置地址池。以下类型的应用程序可能需要使用从IP池提取的唯一IP地址:
- 网络电话
- 主动FTP
- 即时通讯
- Secure shell (SSH)
- 虚拟网络计算(VNC)连接到计算机桌面
- RDP (Remote desktop),用于连接客户端桌面
您可以将Citrix网关配置为向连接到Citrix网关的用户分配内部IP地址。可以将静态IP地址分配给用户,也可以将一系列IP地址全局分配给组、虚拟服务器或系统。
Citrix Gateway允许您从内部网络分配IP地址给远程用户。内部网络中的IP地址可以为远程用户指定地址。如果您选择使用一个IP地址范围,系统将根据需要从该范围动态地分配一个IP地址给远程用户。
配置地址池时,请注意以下事项:
- 已分配的IP地址必须正确路由。为了确保正确的路由,请考虑以下几点:
- 如果没有启用拆分隧道功能,请确保这些IP地址可以通过NAT设备路由。
- 用户通过内网IP地址访问的任何服务器都必须配置正确的网关,以访问这些网络。
- 在Citrix网关上配置网关或静态路由,以便将来自用户软件的网络流量路由到内部网络。
- 分配IP地址范围时,只能使用连续的子网掩码。范围的子集可以分配给较低级别的实体。例如,如果一个IP地址范围绑定了一个虚拟服务器,可以将该IP地址范围的一个子集绑定到一个组中。
- IP地址范围不能绑定到绑定级别内的多个实体。例如,绑定到组的地址范围的子集不能绑定到第二个组。
- Citrix Gateway不允许您删除或解除绑定的IP地址,当它们正在被用户会话积极使用时。
- 内部网络IP地址通过使用以下层次结构分配给用户:
- 用户直接绑定
- 组分配地址池
- 虚拟服务器分配的地址池
- 地址的全局范围
- 只能使用连续的子网掩码来分配地址范围。但是,一个已分配范围的子集可能会被进一步分配给一个较低级别的实体。绑定的全局地址范围可以绑定到以下地址范围:
- 虚拟服务器
- 集团
- 使用者
- 绑定的虚拟服务器地址范围可以有一个子集绑定到以下地址:
- 集团
- 使用者
绑定组地址范围可以具有绑定到用户的子集。
将IP地址分配给用户时,该地址将保留给用户下次登录,直到地址池范围用尽为止。当地址耗尽时,Citrix Gateway会从从Citrix Gateway注销时间最长的用户处收回IP地址。
如果无法回收某个地址,并且所有地址都在使用中,Citrix网关将不允许用户登录。当所有其他IP地址都不可用时,您可以通过允许Citrix Gateway将映射的IP地址用作intranet IP地址来防止这种情况。
内网IP DNS注册
如果将intranet IP分配给客户端计算机,并且在VIP隧道建立之后,VPN插件将检查该客户端计算机是否已加入域。如果客户端计算机是加入域的计算机,VPN插件将启动DNS注册过程,以将计算机的主机名intranet与分配的intranet IP地址绑定。此注册在隧道撤销前恢复。
要成功注册DNS,请确保以下各项nsapimgr旋钮已设置。还要确保权威DNS服务器设置为允许“非安全”DNS更新。
nsapimgry enable_vpn_dns_override = 1:此标志与其他配置参数一起发送到NetScaler网关VPN客户端。如果此标志未设置,并且当VPN客户端截获DNS/WINS请求时,它会通过隧道向NetScaler网关虚拟服务器发送相应的“GET/DNS”HTTP请求,以获取解析的IP地址。但是,如果设置了“enable_vpn_dnstruncate_fix”标志,vpn客户端将DNS/WINS请求透明地转发到NetScaler网关虚拟服务器。在这种情况下,DNS数据包按原样通过VPN隧道发送到NetScaler网关虚拟服务器。当从NetScaler网关中配置的名称服务器返回的DNS记录很大且不适合UPD响应数据包时,这会有所帮助。在这种情况下,当客户端退回到使用TCP-DNS时,此TCP-DNS数据包将按原样到达NetScaler网关服务器,因此NetScaler网关服务器将向DNS服务器进行TCP-DNS查询。nsapimgr-ys enable_vpn_dnstruncate_fix=1:此标志由NetScaler网关服务器本身使用。如果设置了此标志,NetScaler网关将覆盖“DNS端口上的TCP连接”到NetScaler网关上配置的DNS服务器的目标(而不是尝试将它们发送到传入TCP-DNS数据包中最初存在的DNS服务器IP)。对于UDP DNS请求,默认情况下使用已配置的DNS服务器进行DNS解析。
有关设置这些旋钮的更多信息,请参阅https://support.citrix.com/article/CTX200243.
为用户、组或虚拟服务器配置地址池
- 在配置实用程序中,在导航窗格中展开Citrix网关,请执行以下操作之一:
- 展开Citrix网关用户管理,然后单击AAA用户.
- 扩大Citrix网关>用户管理然后单击AAA级组.
- 扩大Citrix网关然后单击虚拟服务器.
- 在详细信息窗格中,单击用户、组或虚拟服务器,然后单击开放.
- 在内部网IP选项卡,在IP地址和网络掩码中,键入IP地址和子网掩码,然后单击添加.
- 重复执行步骤3,单击好啊.
全局配置地址池
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后单击全局设置.
- 在“详细信息”窗格中的内部网IP,单击“为所有客户端Citrix Gateway会话分配唯一的静态IP地址或IP地址池”,配置内网IP地址。
- 在绑定内部网IP对话框中,单击行动然后单击插入.
- 在IP地址和网络掩码中,键入IP地址和子网掩码,然后单击添加.
- 重复执行步骤3和步骤4,然后单击好啊.
定义地址池选项
您可以使用会话策略或全局Citrix网关设置来控制在用户会话期间是否分配intranet IP地址。定义地址池选项允许您将intranet IP地址分配给Citrix Gateway,同时禁用特定用户组的intranet IP地址使用。
通过会话策略配置地址池有以下三种方式:
Nospillover-当您为intranet IP地址配置地址池时,您将从池中获得一个具有可用IP的会话。对于使用了所有可用intranet IP地址的用户,将显示传输登录页面。- 溢出-配置地址池并将映射的IP用作intranet IP地址时,映射的IP地址将用于使用所有可用intranet IP地址的用户。
- 关-未配置地址池。
注意:
如果未配置映射的IP地址,则使用SNIP。
定义地址池
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix Gateway > Policies,然后单击一场.
- 在详细信息窗格中的政策选项卡上,单击添加.
- 在里面名称,键入策略的名称。
- 旁边请求配置文件点击刚出现的.
- 在“名称”中,键入配置文件的名称。
- 在网络配置选项卡上,单击先进的.
- 在Intranet IP旁边,单击覆盖全球然后选择一个选项。
- 如果您选择溢出步骤9中,在“映射的IP地址”后,单击覆盖全球,选择设备的主机名,单击好啊然后单击创造.
- 在创建会话策略对话框中,创建表达式,单击创建、然后单击关闭.
配置传输登录页面
如果用户没有可用的intranet IP地址,然后试图与Citrix Gateway建立另一个会话,则会显示传输登录页面。传输登录页面允许用户用新会话替换现有的Citrix网关会话。
如果注销请求丢失或用户未执行干净注销,也可以使用传输登录页面。例如:
- 为用户分配一个静态intranet IP地址,并具有现有的Citrix网关会话。如果用户试图从其他设备建立第二个会话,则会显示传输登录页面,用户可以将会话传输到新设备。
- 用户被分配了五个内部网IP地址,并通过Citrix网关拥有五个会话。如果用户试图建立第六个会话,则会出现“传输登录”页面,用户可以选择用新会话替换现有会话。
注意:
如果用户没有分配到可用的IP地址,并且无法通过Transfer Login页面建立新的>会话,则会收到错误提示。
只有配置了地址池并禁用溢出功能后,才会出现“转移登录”界面。
配置DNS后缀
当用户登录Citrix Gateway并被分配IP地址时,会在Citrix Gateway的DNS缓存中添加用户名和IP地址组合的DNS记录。当将DNS记录添加到缓存时,可以配置用户名后面的DNS后缀。这允许用户通过DNS名称来引用,这比IP地址更容易记住。当用户从Citrix Gateway注销时,该记录将从DNS缓存中删除。
配置DNS后缀
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix Gateway > Policies,然后单击一场.
- 在详细信息窗格中的政策选项卡,选择会话策略,然后单击开放.
- 单击“请求配置文件”旁边的修改.
- 在网络配置选项卡上,单击先进的.
- 在Intranet IP DNS后缀旁边,单击覆盖全球,输入DNS后缀,然后单击好啊三次。