Creación de servidores virtuales

Un servidor virtual es un punto de acceso en el que los usuarios inician sesión. Cada servidor virtual tiene su propia dirección IP, certificado y conjunto de directivas. Un servidor virtual consiste en una combinación de dirección IP, puerto y protocolo que acepta tráfico entrante. Los servidores virtuales contienen la configuración de conexión para cuando los usuarios inician sesión en el dispositivo. Puede configurar los siguientes ajustes en los servidores virtuales:

  • Certificados
  • Autenticación
  • Directivas
  • Marcadores
  • Grupos de direcciones (también conocidos como grupos de IP o IP de intranet)
  • Implementación DMZ de doble salto con NetScaler Gateway
  • Secure Tíquet Authority
  • Transferencia de sesión proxy ICA SmartAccess

Si ejecuta el asistente de NetScaler Gateway, puede crear un servidor virtual durante el asistente. Puede configurar más servidores virtuales de las siguientes formas:

  • Desde el nodo servidores virtuales. Este nodo se encuentra en el panel de navegación de la utilidad de configuración. Puede agregar, modificar y quitar servidores virtuales mediante la utilidad de configuración.
  • Con el asistente de configuración rápida. Si implementa Citrix Endpoint Management, StoreFront o la Interfaz Web en su entorno, puede utilizar el Asistente de configuración rápida para crear el servidor virtual y todas las directivas necesarias para su implementación.

Si quiere que los usuarios inicien sesión y utilicen un tipo de autenticación específico, como RADIUS, puede configurar un servidor virtual y asignar al servidor una dirección IP única. Cuando los usuarios inician sesión, se les dirige al servidor virtual y, a continuación, se les solicitan sus credenciales RADIUS.

También puede configurar las formas en que los usuarios inician sesión en NetScaler Gateway. Puede utilizar una directiva de sesión para configurar el tipo de software de usuario, el método de acceso y la página principal que ven los usuarios tras iniciar sesión.

Para crear servidores virtuales

Puede agregar, modificar, habilitar o inhabilitar y quitar servidores virtuales mediante la GUI de NetScaler Gateway o el asistente de configuración rápida. Para obtener más información sobre cómo configurar un servidor virtual con el Asistente de configuración rápida, consulte Configuración de valores con el Asistente de configuración rápida.

Nota:

El servidor virtual VPN admite la versión 1.0 de DTLS de forma predeterminada. Para habilitar la versión 1.2 de DTLS, consulte Configurar el servidor virtual VPN DTLS mediante un servidor virtual VPN SSL.

Servidor virtual HTTP QUIC VPN

A partir de la versión 14.1, compilación 8.x, NetScaler Gateway admite el uso de HTML5 en el explorador para enviar tráfico ICA mediante QUIC e iniciar sesiones de Citrix DaaS. Puede crear un servidor virtual de VPN de tipo de servicio HTTP QUIC para lanzar aplicaciones Citrix DaaS a través de QUIC en clientes HTML5, sin necesidad de un software de plug-in de cliente. Anteriormente, las aplicaciones Citrix DaaS tenían que iniciarse a través de exploradores web que utilizaran el software del plug-in de cliente de la aplicación Citrix Workspace o aplicaciones cliente HTML5 mediante WebSockets (acceso sin cliente).

Los clientes HTML5 admiten el protocolo WebTransport. El protocolo WebTransport usa HTTP3 sobre QUIC para establecer la comunicación entre un cliente y un servidor web. Para obtener más información sobre HTTP a través de QUIC, consulte Protocolo HTTP a través de QUIC.

Configurar el servidor virtual HTTP QUIC VPN mediante la GUI

  1. Configure el servidor virtual HTTP QUIC VPN.

    1. Vaya a Configuración > NetScaler Gateway > Servidores virtuales.

    2. En la página Servidores virtuales de NetScaler Gateway, haga clic en Agregar.

    3. En Protocolo, seleccione HTTP_QUIC.

    4. Actualice los campos restantes según sea necesario y haga clic en Aceptar.

  2. Habilite HTTP/3 WebTransport en el perfil HTTP.

    • Vaya a Sistema > Perfiles > Perfiles HTTP. En la sección HTTP/3, active la casilla HTTP/3 WebTransport. Para obtener más información sobre los perfiles HTTP, consulte Configuraciones HTTP.

Configure el servidor virtual HTTP QUIC VPN mediante la CLI

  1. Configure un servidor virtual de VPN del tipo de servicio HTTP QUIC.

    add vpn vserver <VPN server name> -service type <HTTP_QUIC> -dtls <off> -Listenpolicy <NONE> -httpProfileName <name of the HTTP QUIC profile> -deploymentType <ICA_STOREFRONT> -vserverFqdn <URL>
    <!--NeedCopy-->
    
  2. Habilite HTTP/3 WebTransport en el perfil HTTP.

    set httpprofile nshttp_default_http_quic_profile -http3webTransport ENABLED

El resultado del siguiente comando show muestra el parámetro HTTP/3 WebTransport: ENABLED. Este parámetro indica que el tipo de servicio HTTP QUIC se utiliza para enviar tráfico de WebTransport entre el cliente y el servidor virtual de VPN.

sh httpprofile <name>

HTTP/2 Strict Cipher: ENABLED
        HTTP/3: ENABLED
        HTTP/3 maximum header field section size: 24576
        HTTP/3 maximum header table size: 4096
        HTTP/3 maximum header blocked streams: 100
        HTTP/3 WebTransport: ENABLED
        gRPC Buffer Limit: 131072
        gRPC Buffer Timeout: 1000
        gRPC Length Delimited Message: ENABLED
        Apdex Client Response Threshold: 500
        HTTP pipeline req buffer size: 131072
        Reference count: 2

<!--NeedCopy-->

Notas:

  • La dirección IP y el número de puerto deben ser los mismos para los servidores virtuales SSL y HTTP QUIC VPN. Sin embargo, el DTLS debe estar inhabilitado en el servidor virtual de VPN con SSL porque no puede ejecutar tanto DTLS como HTTP_QUIC en una dirección IP y un número de puerto comunes. Para obtener más información sobre el servidor virtual de VPN de DTLS, consulte Configurar el servidor virtual de VPN de DTLS mediante el servidor virtual de VPN de SSL.
  • El perfil HTTP configurado con el valor de servicio alternativo establecido en Altsvc=h3=":port number" debe estar enlazado al servidor virtual de VPN con SSL. Para obtener más información sobre el parámetro Alternative Service, consulte HTTP/2 para configurar el equilibrio de cargas HTTP.

Para crear un servidor virtual mediante la interfaz gráfica de usuario

  1. Vaya a NetScaler Gateway> Servidores virtuales.
  2. En el panel de detalles, haga clic en Agregar.
  3. Configure los ajustes según sus necesidades.
  4. Haga clic en Create y, luego, en Close.

Para crear un servidor virtual mediante la CLI

En la línea de comandos, escriba;

add vpn vserver <name> <serviceType> [<IPAddress> <port>]
<!--NeedCopy-->

Ejemplo:

add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->

Puntos a tener en cuenta al enlazar un perfil de red al servidor virtual de VPN

Puede crear perfiles de red (perfiles de red) para configurar el dispositivo de modo que utilice una dirección IP de origen especificada y vincular el perfil de red al servidor virtual de VPN. Sin embargo, tenga en cuenta lo siguiente al vincular un perfil de red al servidor virtual de VPN.

  • Al enlazar un perfil de red a un servidor virtual de NetScaler Gateway, el perfil de red no selecciona un SNIP específico para que lo utilice el servidor virtual o el servicio para el tráfico a los servidores back-end. En su lugar, el dispositivo de puerta de enlace ignora el enlace del perfil de red y utiliza el método round robin para seleccionar los SNIP.

  • El perfil de red no funciona para los servicios generados dinámicamente (STA, monitor SF). Para STA y otros servicios generados dinámicamente, puede enlazar el perfil de red a esos monitores directamente y esos monitores se utilizarán en ese momento. Sin embargo, si tiene varias puertas de enlace en el mismo dispositivo, todas las puertas de enlace utilizan el mismo perfil de red para los monitores configurados.

    Para obtener más información sobre el perfil de red, consulte Usar una IP de origen especificada para la comunicación back-end.

Dirección IP de origen del perfil de red en una configuración de servidor virtual VPN DTLS para el lanzamiento de UDP

A partir de la versión 14.1, compilación 17.38, NetScaler Gateway configurado con DTLS Listener elige la dirección IP de origen del perfil de red para establecer una conexión UDP con el Virtual Delivery Agent (VDA). Asegúrese de que el perfil de red esté enlazado al servidor virtual VPN SSL.

Ejecute los siguientes comandos de la CLI para configurar un perfil de red en el servidor virtual VPN:

add ip <IPAddress><netmask> -type SNIP
add netprofile net1 -srcIP <IPAddress>
set vpn vserver <name> -netProfile net1
<!--NeedCopy-->

Para verificar si se usa la dirección IP de origen elegida, ejecute el comando de la CLI show connectiontable.

Usuarios actuales y usuarios conectados totales en el servidor virtual

Usuarios actuales: número de usuarios que han iniciado sesión en un servidor virtual específico. Se recomienda supervisar a los usuarios actuales para el seguimiento de las CCUs.

Total de usuarios conectados: número de usuarios que tienen una o más conexiones activas a través del servidor virtual específico. El número total de usuarios conectados se utiliza principalmente en ICA Proxy.

Puede utilizar el contador de número total de usuarios conectados en los siguientes casos:

  • Tenga en cuenta que se ha establecido una conexión ICA pero no se ha establecido ninguna sesión de autenticación, autorización ni auditoría correspondiente. En este caso, un usuario inicie una aplicación o un escritorio y cierra el explorador, continúa trabajando en la aplicación o el escritorio iniciados. Se agotó el tiempo de espera de la sesión de autenticación, autorización y auditoría, pero la conexión sigue activa. El número total de usuarios conectados se puede utilizar para identificar a los usuarios que siguen conectados.

  • En HDX, la redirección óptima, la puerta de enlace de autenticación y la puerta de enlace ICA pueden estar en diferentes dispositivos. El total de usuarios conectados en este caso se puede utilizar para identificar el número de usuarios conectados en la puerta de enlace ICA.

Puntos a tener en cuenta:

  • Los usuarios actuales superan el total de usuarios conectados cuando hay sesiones activas (aún no se ha agotado el tiempo de espera) pero no hay conexiones activas en estas sesiones. Por ejemplo, un usuario inició una aplicación o un escritorio y lo cerró inmediatamente, pero no cerró la sesión de autenticación, autorización y auditoría.

  • El total de usuarios conectados supera a los usuarios actuales si se agota el tiempo de espera de las sesiones de autenticación, autorización y auditoría, pero las conexiones ICA siguen activas.

  • En una configuración de VPN pura (no se trata de ICA), el número de usuarios actuales y el total de usuarios conectados son iguales.

Configurar los tipos de conexión en el servidor virtual

Al crear y configurar un servidor virtual, puede configurar las siguientes opciones de conexión:

  • Conexiones con la aplicación Citrix Workspace solo a Citrix Virtual Apps and Desktops sin SmartAccess, análisis de puntos finales ni funciones de túnel de capa de red.
  • Conexiones con el cliente Citrix Secure Access y SmartAccess, que permiten el uso de las funciones SmartAccess, de análisis de terminales y de tunelización de la capa de red.
  • Conexiones con Secure Hub que establece una conexión Micro VPN desde dispositivos móviles a NetScaler Gateway.
  • Conexiones paralelas realizadas a través del protocolo de sesión ICA por un usuario desde varios dispositivos. Las conexiones se migran a una sola sesión para evitar el uso de varias licencias universales.

Si quiere que los usuarios inicien sesión sin software de usuario, puede configurar una directiva de acceso sin cliente y vincularla al servidor virtual.

Para configurar conexiones Basic o SmartAccess en un servidor virtual

  1. Vaya a NetScaler Gateway y, a continuación, haga clic en Servidores
  2. En el panel de detalles, haga clic en Agregar.
  3. En Nombre, escriba un nombre para el servidor virtual.
  4. En Dirección IP y puerto, escriba la dirección IP y el número de puerto del servidor virtual.
  5. Lleve a cabo una de las siguientes acciones:
    • Para permitir únicamente conexiones ICA, haga clic en Modo básico.
    • Para permitir el inicio de sesión del usuario con Secure Hub, el cliente Citrix Secure Access y SmartAccess, haga clic en Modo SmartAccess.
    • Para permitir que SmartAccess administre las sesiones de proxy ICA para conexiones de varios usuarios, haga clic en Migración de sesiones de proxy ICA.
  6. Configure los demás ajustes del servidor virtual, haga clic en Crear y, a continuación, haga clic en Cerrar.

Configurar una directiva de escucha para servidores virtuales comodín

Puede configurar los servidores virtuales de NetScaler Gateway para restringir la capacidad de un servidor virtual de escuchar en una VLAN específica. Puede crear un servidor virtual comodín con una directiva de escucha que lo restrinja al procesamiento del tráfico en la VLAN especificada.

Los parámetros de configuración son los siguientes:

Parámetro Descripción
Nombre Nombre del servidor virtual. El nombre es obligatorio y no se puede cambiar después de crear el servidor virtual. El nombre no puede superar los 127 caracteres y el primer carácter debe ser un número o una letra. También puede usar los siguientes caracteres: símbolo (@), guión bajo (_), guión (-), punto (.), dos puntos (:), signo de almohadilla (#) y un espacio.
IP Dirección IP del servidor virtual. Para un servidor virtual comodín vinculado a la VLAN, el valor siempre es *.
Tipo El comportamiento del servicio. Sus opciones son HTTP, SSL, FTP, TCP, SSL_TCP, UDP, SSL_BRIDGE, NNTP, DNS, ANY, SIP-UDP, DNS-TCP y RTSP.
Puerto Puerto en el que el servidor virtual escucha las conexiones de usuario. El número de puerto debe estar comprendido entre 0 y 65535. Para el servidor virtual comodín enlazado a una VLAN, el valor suele ser *.
Escucha Prioridad La prioridad que se asigna a la directiva de escucha. La prioridad se evalúa en orden inverso; cuanto menor sea el número, mayor será la prioridad asignada a la directiva de escucha.
Regla de directiva de escucha Regla de directiva que se va a utilizar para identificar la VLAN a la que debe escuchar el servidor virtual. La regla es CLIENT.VLAN.ID.EQ (<ipaddressat>). <ipaddressat> Sustitúyalo por el ID asignado a la VLAN.

Para crear un servidor virtual comodín con una directiva de escucha

  1. En el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Servidores virtuales.
  2. En el panel de detalles, haga clic en Agregar.
  3. En Nombre, escriba un nombre para el servidor virtual.
  4. En Protocolo, seleccione el protocolo.
  5. En Dirección IP, escriba la dirección IP del servidor virtual.
  6. En Puerto, escriba el puerto del servidor virtual.
  7. En la ficha Avanzadas, en Directiva de escucha, en Prioridad de escucha, escriba la prioridad de la directiva de escucha.
  8. Junto a Regla de directiva de escucha, haga clic en Configurar.
  9. En el cuadro de diálogo Crear expresión, haga clic en Agregar, configure la expresión y, a continuación, haga clic en Aceptar.
  10. Haga clic en Create y, luego, en Close.