NetScaler Unterstützung für Microsoft Direct Access-Bereitstellung
Microsoft Direct Access ist eine Technologie, die es Remotebenutzern ermöglicht, sich nahtlos und sicher mit den internen Netzwerken des Unternehmens zu verbinden, ohne dass eine separate VPN-Verbindung hergestellt werden muss. Im Gegensatz zu VPN-Verbindungen, bei denen der Benutzer zum Öffnen und Schließen von Verbindungen eingreifen muss, stellt ein Direct Access-fähiger Client automatisch eine Verbindung zu den internen Netzwerken des Unternehmens her, sobald der Client eine Verbindung zum Internet herstellt.
Manage-Out ist eine Microsoft Direct Access-Funktion, mit der Administratoren innerhalb des Unternehmensnetzwerks eine Verbindung zu Direct Access-Clients außerhalb des Netzwerks herstellen und diese verwalten können (z. B. das Ausführen von Verwaltungsaufgaben wie das Planen von Dienstupdates und die Bereitstellung von Remote-Support).
In einer Direct Access-Bereitstellung bieten NetScaler-Appliances hohe Verfügbarkeit, Skalierbarkeit, hohe Leistung und Sicherheit. Die NetScaler-Load-Balancing-Funktion sendet den Client-Datenverkehr über den am besten geeigneten Server. Die Appliances können den Manage-Out-Traffic auch über den richtigen Pfad weiterleiten, um den Client zu erreichen.
Architektur
Die Architektur einer Microsoft Direct Access-Bereitstellung besteht aus Direct Access-fähigen Clients, Direct Access-Servern, Anwendungsservern sowie internen und externen NetScaler-Appliances. Clients stellen über einen Direct Access-Server eine Verbindung zu einem Anwendungsserver her. Eine externe NetScaler-Appliance verteilt den Client-Datenverkehr zu einem Direct Access-Server, und eine interne NetScaler-Appliance leitet den Client-Datenverkehr vom Direct Access-Server an den Zielanwendungsserver weiter. Direct Access wird verwendet, um den IPv6-Verkehr des Clients über das IPv4-Netzwerk zu tunneln. Ein virtueller IPv4-Lastausgleichsserver auf der externen NetScaler-Appliance verteilt den getunnelten Datenverkehr des Clients auf einen der Direct Access-Server. Der Direct Access-Server extrahiert die IPv6-Pakete aus den IPv4-Paketen des empfangenen Clients und sendet sie über die interne NetScaler-Appliance an den Zielanwendungsserver. Die interne NetScaler-Appliance verfügt über Regeln für Weiterleitungssitzungen, wobei die Option Quell-Route-Cache aktiviert ist, um Layer-2- und Layer-3-Verbindungsinformationen über den Client-Verkehr vom Direct Access Server zu speichern. Die NetScaler-Appliance speichert die folgenden Layer-2- und Layer-3-Informationen in einer Tabelle, die als Quell-Route-Cache-Tabelle bezeichnet wird:
- Quell-IP-Adresse des empfangenen Pakets
- MAC-Adresse des Direct Access-Servers, der das Paket gesendet hat
- VLAN-ID der NetScaler-Appliance, die das Paket empfangen hat
- Schnittstellen-ID der NetScaler-Appliance, die das Paket empfangen hat
Die NetScaler-Appliance verwendet die Informationen in der Quell-Route-Cache-Tabelle, um eine Antwort an denselben Direct Access-Server weiterzuleiten, da sie über die Tunnelinformationen verfügt, um den Client zu erreichen. Außerdem verwendet die interne Appliance die Quell-Route-Cache-Tabelle, um den Verwaltungsdatenverkehr des Anwendungsservers an den entsprechenden Direct Access-Server weiterzuleiten, um einen bestimmten Client zu erreichen.
Konfiguration der internen NetScaler-Appliance in einer Microsoft Direct Access-Bereitstellung
Um die interne NetScaler-Appliance für die Weiterleitung der Antwort und Verwaltung des Datenverkehrs eines Anwendungsservers an das entsprechende Direct Access Gateway zu konfigurieren, konfigurieren Sie die Regeln für die Weiterleitung von Sitzungen. Setzen Sie in jeder Regel den Parameter sourceroutecache auf ENABLED.
So erstellen Sie eine Weiterleitungssitzungsregel mithilfe der Befehlszeilenschnittstelle:
Geben Sie in der Befehlszeile Folgendes ein:
- add forwardingSession <name> ((<network> [\<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
- show forwardingsession <name>
Beispielkonfiguration:
Im folgenden Beispiel wird die Weiterleitungsregel MS-DA-FW-1 auf der internen NetScaler-Appliance erstellt. Die Weiterleitungssitzung speichert Layer-2- und Layer-3-Informationen für alle eingehenden IPv6-Pakete von einem Direct Access-Server, der dem Quell-IPv6-Präfix 2001:DB8::/96 entspricht.
> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
Done
Quell-Route-Cache-Tabelle anzeigen
Sie können die Quell-Route-Cache-Tabelle anzeigen, um unerwünschte Verbindungen zwischen Direktzugriffsservern und Anwendungsservern zu überwachen oder zu erkennen.
Um die Quell-Route-Cache-Tabelle mit der CLI anzuzeigen:
Geben Sie in der Befehlszeile Folgendes ein:
- Quellroute und Cachetable anzeigen
Beispiel:
> show sourceroutecachetable
SOURCEIP MAC VLAN INTERFACE
2001:DB8:5001:10 56:53:24:3d:02:eb 30 1/2
2001:DB8:5003:30 60:54:35:3e:04:bd 60 1/3
Done
Löschen der Quell-Route-Cache-Tabelle
Sie können alle Einträge aus der Quell-Route-Cache-Tabelle auf einer NetScaler-Appliance löschen.
Um die Quell-Route-Cache-Tabelle mit der CLI zu löschen:
Geben Sie in der Befehlszeile Folgendes ein:
- flush ns sourceroutecachetable