Citrix ADC Unterstützung für die Bereitstellung von Microsoft Direct Access
Microsoft Direct Access ist eine Technologie, die es Remote-Benutzern ermöglicht, nahtlos und sicher mit den internen Netzwerken des Unternehmens zu verbinden, ohne dass eine separate VPN-Verbindung hergestellt werden muss. Im Gegensatz zu VPN-Verbindungen, die Benutzereingriffe zum Öffnen und Schließen von Verbindungen erfordern, stellt ein Direct Access-fähiger Client automatisch eine Verbindung zu den internen Netzwerken des Unternehmens her, wenn der Client eine Verbindung zum Internet herstellt.
ManageOut ist eine Microsoft Direct Access-Funktion, mit der Administratoren innerhalb des Unternehmensnetzwerks eine Verbindung zu Direct Access-Clients außerhalb des Netzwerks herstellen und diese verwalten können (z. B. Verwaltungsaufgaben wie das Planen von Dienstaktualisierungen und die Bereitstellung von Remote-Support.
In einer Direct Access-Bereitstellung bieten Citrix ADC Appliances hohe Verfügbarkeit, Skalierbarkeit, hohe Leistung und Sicherheit. Die Citrix ADC Load Balancing-Funktionalität sendet Clientdatenverkehr über den am besten geeigneten Server. Die Appliances können auch ManageOut-Datenverkehr über den richtigen Pfad weiterleiten, um den Client zu erreichen.
Architektur
Die Architektur einer Microsoft Direct Access-Bereitstellung besteht aus Direct Access-fähigen Clients, Direct Access-Servern, Anwendungsservern sowie internen und externen Citrix ADC Appliances. Clients stellen über einen Direct Access-Server eine Verbindung zu einem Anwendungsserver her. Eine externe Citrix ADC Appliance gleicht den Clientdatenverkehr zu einem Direct Access-Server aus, und eine interne Citrix ADC Appliance leitet den Clientdatenverkehr vom Direct Access-Server an den Zielanwendungsserver weiter. Direct Access wird verwendet, um den IPv6-Datenverkehr des Clients über das IPv4-Netzwerk zu tunneln. Ein virtueller IPv4-Server für Lastenausgleich auf der externen Citrix ADC Appliance gleicht den Tunnelverkehr des Clients zu einem der Direct Access-Server aus. Der Direct Access-Server extrahiert die IPv6-Pakete aus den IPv4-Paketen des empfangenen Clients und sendet sie über die interne Citrix ADC Appliance an den Zielanwendungsserver. Die interne Citrix ADC Appliance verfügt über Weiterleitungssitzungsregeln, bei denen die Option Quellrouten Cache aktiviert ist, um Layer 2- und Layer 3-Verbindungsinformationen über den Datenverkehr des Clients vom Direct Access Server zu speichern. Die Citrix ADC Appliance speichert die folgenden Layer-2- und Layer-3-Informationen in einer Tabelle, die als Quell-Route-Cache-Tabelle bezeichnet wird:
- Quell-IP-Adresse des empfangenen Pakets
- MAC-Adresse des Direct Access-Servers, der das Paket gesendet hat
- VLAN-ID der Citrix ADC Appliance, die das Paket empfangen hat
- Schnittstellen-ID der Citrix ADC Appliance, die das Paket empfangen hat
Die Citrix ADC Appliance verwendet die Informationen in der Quellroute Cachetabelle für die Weiterleitung einer Antwort an denselben Direct Access-Server, da sie über die Tunnelinformationen verfügt, um den Client zu erreichen. Außerdem verwendet die Interne Appliance die Quellroute Cachetabelle, um den Verwaltungsdatenverkehr des Anwendungsservers an den entsprechenden Direct Access-Server weiterzuleiten, um einen bestimmten Client zu erreichen.
Konfigurieren der internen Citrix ADC Appliance in einer Microsoft Direct Access-Bereitstellung
Konfigurieren Sie die Weiterleitungssitzungsregeln, um die interne Citrix ADC Appliance für die Weiterleitung der Antwort eines Anwendungsservers und die Verwaltung des Datenverkehrs an das entsprechende Direct Access Gateway zu konfigurieren. Legen Sie in jeder Regel den Parameter sourceroutecache auf Enabled fest.
So erstellen Sie eine Weiterleitungssitzungsregel mithilfe der Befehlszeilenschnittstelle:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add ForwardingSession <name>((<network>[]<netmask>) | -acl6name <string>| -aclname <string>) -sourceroutecache ( AKTIVIERT |DEAKTIVIERT**]
- show forwardingsession <name>
Beispielkonfiguration:
Im folgenden Beispiel wird die Weiterleitungssitzungsregel MS-DA-FW-1 auf der internen Citrix ADC Appliance erstellt. Die Weiterleitungssitzung speichert Layer-2- und Layer-3-Informationen für alle eingehenden IPv6-Pakete von einem Direct Access-Server, der dem Quell-IPv6-Präfix 2001:DB8::/96 entspricht.
> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
Done
Quell-Route-Cache-Tabelle anzeigen
Sie können die Quell-Route-Cache-Tabelle anzeigen, um unerwünschte Verbindungen zwischen Servern mit Direktzugriff und Anwendungsservern zu überwachen oder zu erkennen.
So zeigen Sie die Quell-Route-Cache-Tabelle mit der Befehlszeilenschnittstelle an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- show sourceroutecachetable
Beispiel:
> show sourceroutecachetable
SOURCEIP MAC VLAN INTERFACE
2001:DB8:5001:10 56:53:24:3d:02:eb 30 1/2
2001:DB8:5003:30 60:54:35:3e:04:bd 60 1/3
Done
Löschen der Quellroute Cachetabelle
Sie können alle Einträge aus der Quellroute Cachetabelle auf einer Citrix ADC Appliance löschen.
So löschen Sie die Quell-Route-Cache-Tabelle mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- flush ns sourceroutecachetable