Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF

Créer des serveurs virtuels

March 27, 2024
Contributeur: 
C

Un serveur virtuel est un point d’accès auquel les utilisateurs ouvrent une session. Chaque serveur virtuel possède sa propre adresse IP, son propre certificat et son propre jeu de stratégies. Un serveur virtuel consiste en une combinaison d’une adresse IP, d’un port et d’un protocole qui accepte le trafic entrant. Les serveurs virtuels contiennent les paramètres de connexion lorsque les utilisateurs ouvrent une session sur l’appliance. Vous pouvez configurer les paramètres suivants sur les serveurs virtuels :

  • Certificats
  • Authentification
  • Stratégies
  • Signets
  • Pools d’adresses (également appelés pools d’adresses IP ou IP intranet)
  • Déploiement de DMZ à double saut avec NetScaler Gateway
  • Secure Ticket Authority
  • Transfert de session proxy ICA SmartAccess

Si vous exécutez l’assistant NetScaler Gateway, vous pouvez créer un serveur virtuel au cours de l’assistant. Vous pouvez configurer d’autres serveurs virtuels de l’une des manières suivantes :

  • Depuis le nœud des serveurs virtuels. Ce nœud se trouve dans le volet de navigation de l’utilitaire de configuration. Vous pouvez ajouter, modifier et supprimer des serveurs virtuels à l’aide de l’utilitaire de configuration.
  • Avec l’assistant de configuration rapide. Si vous déployez Citrix Endpoint Management, StoreFront ou l’interface Web dans votre environnement, vous pouvez utiliser l’assistant de configuration rapide pour créer le serveur virtuel et toutes les stratégies nécessaires à votre déploiement.

Si vous souhaitez que les utilisateurs ouvrent une session et utilisent un type d’authentification spécifique, tel que RADIUS, vous pouvez configurer un serveur virtuel et attribuer au serveur une adresse IP unique. Lorsque les utilisateurs ouvrent une session, ils sont dirigés vers le serveur virtuel, puis invités à entrer leurs informations d’identification RADIUS.

Vous pouvez également configurer la manière dont les utilisateurs se connectent à NetScaler Gateway. Vous pouvez utiliser une stratégie de session pour configurer le type de logiciel utilisateur, la méthode d’accès et la page d’accueil affichée par les utilisateurs après la connexion.

Pour créer des serveurs virtuels

Vous pouvez ajouter, modifier, activer ou désactiver et supprimer des serveurs virtuels à l’aide de l’interface graphique de NetScaler Gateway ou de l’assistant de configuration rapide. Pour plus d’informations sur la configuration d’un serveur virtuel à l’aide de l’assistant de configuration rapide, consultez Configuration des paramètres à l’aide de l’assistant de configuration rapide.

Remarque :

Le serveur virtuel VPN prend en charge la version 1.0 de DTLS par défaut. Pour activer la version 1.2 de DTLS, voir Configurer le serveur virtuel VPN DTLS à l’aide d’un serveur virtuel VPN SSL.

Serveur virtuel HTTP QUIC VPN

À partir de la version 14.1 build 8.x, NetScaler Gateway prend en charge l’utilisation du HTML5 sur votre navigateur pour envoyer du trafic ICA via QUIC et pour lancer des sessions Citrix DAaS. Vous pouvez créer un serveur virtuel VPN de type de service HTTP QUIC pour lancer des applications Citrix DAaS via QUIC sur des clients HTML5, sans plug-in client. Auparavant, les applications Citrix DaaS devaient être lancées via des navigateurs utilisant le plug-in client de l’application Citrix Workspace ou des applications clientes HTML5 à l’aide de WebSockets (accès sans client).

Les clients HTML5 prennent en charge le protocole WebTransport. Le protocole WebTransport utilise HTTP3 sur QUIC pour établir la communication entre un client et un serveur Web. Pour plus d’informations sur HTTP sur QUIC, consultez la section Protocole HTTP sur QUIC.

Configurez le serveur virtuel HTTP QUIC VPN à l’aide de l’interface graphique

  1. Configurez le serveur virtuel HTTP QUIC VPN.

    1. Accédez à Configuration > NetScaler Gateway > Serveurs virtuels.

    2. Sur la page Serveurs virtuels NetScaler Gateway, cliquez sur Ajouter.

    3. Dans Protocole, sélectionnez HTTP_QUIC.

    4. Mettez à jour les champs restants selon vos besoins et cliquez sur OK.

  2. Activez le WebTransport HTTP/3 sur le profil HTTP.

    • Accédez à Système > Profils > Profils HTTP. Dans la section HTTP/3, cochez la case HTTP/3 WebTransport. Pour plus de détails sur les profils HTTP, voir Configurations HTTP.

Configurez le serveur virtuel HTTP QUIC VPN à l’aide de l’interface de ligne de commande

  1. Configurez un serveur virtuel VPN de type service HTTP QUIC.

    add vpn vserver <VPN server name> -service type <HTTP_QUIC> -dtls <off> -Listenpolicy <NONE> -httpProfileName <name of the HTTP QUIC profile> -deploymentType <ICA_STOREFRONT> -vserverFqdn <URL>
<!--NeedCopy-->

  2. Activez le WebTransport HTTP/3 sur le profil HTTP.

    set httpprofile nshttp_default_http_quic_profile -http3webTransport ENABLED

La sortie de la commande show suivante affiche le paramètre HTTP/3 WebTransport: ENABLED. Ce paramètre indique que le type de service HTTP QUIC est utilisé pour envoyer du trafic WebTransport entre le client et le serveur virtuel VPN.

sh httpprofile <name>

HTTP/2 Strict Cipher: ENABLED
        HTTP/3: ENABLED
        HTTP/3 maximum header field section size: 24576
        HTTP/3 maximum header table size: 4096
        HTTP/3 maximum header blocked streams: 100
        HTTP/3 WebTransport: ENABLED
        gRPC Buffer Limit: 131072
        gRPC Buffer Timeout: 1000
        gRPC Length Delimited Message: ENABLED
        Apdex Client Response Threshold: 500
        HTTP pipeline req buffer size: 131072
        Reference count: 2

<!--NeedCopy-->

Remarques :

  • L’adresse IP et le numéro de port doivent être identiques pour les serveurs virtuels SSL et HTTP QUIC VPN. Toutefois, DTLS doit être désactivé sur le serveur virtuel VPN SSL car vous ne pouvez pas exécuter à la fois DTLS et HTTP_QUIC sur une adresse IP et un numéro de port communs. Pour plus d’informations sur le serveur virtuel VPN DTLS, voir Configurer le serveur virtuel VPN DTLS à l’aide d’un serveur virtuel VPN SSL.
  • Le profil HTTP configuré avec la valeur de service alternative définie sur Altsvc=h3=":port number" doit être lié au serveur virtuel VPN SSL. Pour plus d’informations sur le paramètre Alternative Service, consultez HTTP/2 pour la configuration de l’équilibrage de charge HTTP.

Pour créer un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à NetScaler Gateway > Serveurs virtuels.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Configurez les paramètres en fonction de vos besoins.
  4. Cliquez sur Create, puis cliquez sur Close.

Pour créer un serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez ;

add vpn vserver <name> <serviceType> [<IPAddress> <port>]
<!--NeedCopy-->

Exemple :

add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->

Points à noter lors de la liaison d’un profil réseau au serveur virtuel VPN

Vous pouvez créer des profils réseau (profils réseau) pour configurer l’appliance pour qu’elle utilise une adresse IP source spécifiée et lie le profil réseau au serveur virtuel VPN. Toutefois, notez les points suivants lorsque vous liez un profil réseau au serveur virtuel VPN.

  • Lorsque vous liez un profil réseau à un serveur virtuel NetScaler Gateway, le profil réseau ne sélectionne pas de SNIP spécifique à utiliser par le serveur virtuel ou le service pour le trafic vers les serveurs principaux. Au lieu de cela, l’appliance de passerelle ignore la liaison du profil réseau et utilise la méthode Round Robin pour sélectionner les SNIP.

  • Le profil réseau ne fonctionne pas pour les services générés dynamiquement (STA, moniteur SF). Pour STA et d’autres services générés dynamiquement, vous pouvez lier directement le profil réseau à ces moniteurs et ces moniteurs sont utilisés à ce stade. Toutefois, si vous disposez de plusieurs passerelles sur le même dispositif, toutes les passerelles utilisent le même profil réseau pour les moniteurs configurés.

    Pour plus d’informations sur le profil réseau, consultez Utiliser une adresse IP source spécifiée pour la communicationprincipale.

Adresse IP source du profil réseau dans une configuration de serveur virtuel VPN DTLS pour le lancement d’UDP

À partir de la version 14.1 build 17.38, NetScaler Gateway configuré avec DTLS Listener choisit l’adresse IP source dans le profil réseau pour établir une connexion UDP avec le Virtual Delivery Agent (VDA). Assurez-vous que le profil réseau est lié au serveur virtuel VPN SSL.

Exécutez les commandes CLI suivantes pour configurer un profil réseau dans le serveur virtuel VPN :

add ip <IPAddress><netmask> -type SNIP
add netprofile net1 -srcIP <IPAddress>
set vpn vserver <name> -netProfile net1
<!--NeedCopy-->

Pour vérifier si l’adresse IP source choisie est utilisée, exécutez la commande show connectiontable CLI.

Utilisateurs actuels et nombre total d’utilisateurs connectés sur le serveur virtuel

Utilisateurs actuels : nombre d’utilisateurs connectés à un serveur virtuel spécifique. Il est recommandé de surveiller les utilisateurs actuels pour le suivi des CCU.

Nombretotal d’utilisateurs connectés : nombre d’utilisateurs disposant d’une ou de plusieurs connexions actives via le serveur virtuel spécifique. Le nombre total d’utilisateurs connectés est principalement utilisé dans le proxy ICA.

Vous pouvez utiliser le compteur du nombre total d’utilisateurs connectés dans les scénarios suivants :

  • Considérez qu’une connexion ICA est établie mais qu’aucune session d’authentification, d’autorisation et d’audit correspondante n’est établie. Dans ce scénario, un utilisateur lance une application ou un bureau, ferme le navigateur et continue de travailler sur l’application ou le bureau lancé. La session d’authentification, d’autorisation et d’audit est dépassé, mais la connexion est toujours active. Le nombre total d’utilisateurs connectés peut être utilisé pour identifier les utilisateurs qui sont toujours connectés.

  • Dans le routage optimal HDX, la passerelle d’authentification et la passerelle ICA peuvent se trouver sur différentes appliances. Dans ce cas, le nombre total d’utilisateurs connectés peut être utilisé pour identifier le nombre d’utilisateurs connectés sur la passerelle ICA.

Points à noter :

  • Les utilisateurs actuels dépassent le nombre total d’utilisateurs connectés lorsqu’il y a des sessions actives (pas encore dépassées) mais qu’il n’y a pas de connexion active sur ces sessions. Par exemple, un utilisateur a lancé une application ou un bureau et l’a fermé immédiatement, mais ne s’est pas déconnecté de la session d’authentification, d’autorisation et d’audit.

  • Le nombre total d’utilisateurs connectés dépasse le nombre d’utilisateurs actuels si les sessions d’authentification, d’autorisation et d’audit expirent, mais que les connexions ICA sont toujours actives.

  • Dans une configuration VPN pure (aucune ICA n’est impliquée), le nombre d’utilisateurs actuels et le nombre total d’utilisateurs connectés sont égaux.

Configuration des types de connexion sur le serveur virtuel

Lorsque vous créez et configurez un serveur virtuel, vous pouvez configurer les options de connexion suivantes :

  • Connexions avec l’application Citrix Workspace uniquement à Citrix Virtual Apps and Desktops sans SmartAccess, analyse des points de terminaison ou fonctionnalités de tunneling de la couche réseau.
  • Connexions avec le client Citrix Secure Access et SmartAccess, qui permettent d’utiliser SmartAccess, l’analyse des points de terminaison et les fonctions de tunneling de la couche réseau.
  • Connexions avec Secure Hub qui établit une connexion micro VPN entre des appareils mobiles et NetScaler Gateway.
  • Connexions parallèles effectuées via le protocole de session ICA par un utilisateur à partir de plusieurs appareils. Les connexions sont migrées vers une session unique pour empêcher l’utilisation de plusieurs licences universelles.

Si vous souhaitez que les utilisateurs ouvrent une session sans logiciel utilisateur, vous pouvez configurer une stratégie d’accès sans client et la lier au serveur virtuel.

Pour configurer les connexions Basic ou SmartAccess sur un serveur virtuel

  1. Accédez à NetScaler Gateway, puis cliquez sur Virtual Servers.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom du serveur virtuel.
  4. Dans Adresse IP et port, tapez l’adresse IP et le numéro de port du serveur virtuel.
  5. Procédez comme suit :
    • Pour autoriser uniquement les connexions ICA, cliquez sur Mode de base.
    • Pour autoriser les utilisateurs à se connecter avec Secure Hub, le client Citrix Secure Access et SmartAccess, cliquez sur Mode SmartAccess.
    • Pour permettre à SmartAccess de gérer les sessions de proxy ICA pour plusieurs connexions utilisateur, cliquez sur Migration de session de proxy ICA.
  6. Configurez les autres paramètres du serveur virtuel, cliquez sur Créer, puis sur Fermer.

Configurer une stratégie d’écoute pour les serveurs virtuels génériques

Vous pouvez configurer les serveurs virtuels NetScaler Gateway pour restreindre la capacité d’un serveur virtuel à écouter sur un VLAN spécifique. Vous pouvez créer un serveur virtuel générique avec une stratégie d’écoute qui le limite au traitement du trafic sur le VLAN spécifié.

Les paramètres de configuration sont les suivants :

Paramètre Description
Nom Le nom du serveur virtuel. Le nom est obligatoire et vous ne pouvez pas le modifier après avoir créé le serveur virtuel. Le nom ne peut pas dépasser 127 caractères et le premier caractère doit être un chiffre ou une lettre. Vous pouvez également utiliser les caractères suivants : symbole arobase (@), trait de soulignement (_), tiret (-), point (.), deux-points (:), signe dièse (#) et espace.
Adresse IP L’adresse IP du serveur virtuel. Pour un serveur virtuel générique lié au VLAN, la valeur est toujours *.
Type Le comportement du service. Vous avez le choix entre HTTP, SSL, FTP, TCP, SSL_TCP, UDP, SSL_BRIDGE, NNTP, DNS, ANY, SIP-UDP, DNS-TCP et RTSP.
Port Port sur lequel le serveur virtuel écoute les connexions des utilisateurs. Le numéro de port doit être compris entre 0 et 65535. Pour le serveur virtuel générique lié à un VLAN, la valeur est généralement *.
Priorité écoute Priorité attribuée à la stratégie d’écoute. La priorité est évaluée dans l’ordre inverse ; plus le nombre est bas, plus la priorité attribuée à la stratégie d’écoute est élevée.
Règle de stratégie d’écoute La règle de stratégie à utiliser pour identifier le VLAN que le serveur virtuel doit écouter. La règle est la suivante CLIENT.VLAN.ID.EQ (<ipaddressat>): <ipaddressat> Remplacez-le par l’ID attribué au VLAN.

Pour créer un serveur virtuel générique avec une stratégie d’écoute

  1. Dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Serveurs virtuels.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom du serveur virtuel.
  4. Dans Protocole, sélectionnez le protocole.
  5. Dans Adresse IP, tapez l’adresse IP du serveur virtuel.
  6. Dans Port, tapez le port du serveur virtuel.
  7. Dans l’onglet Avancé, sous Stratégie d’écoute, dans Priorité d’écoute, tapez la priorité de la stratégie d’écoute.
  8. En regard de Règle de stratégie d’écoute, cliquez sur Configurer.
  9. Dans la boîte de dialogue Créer une expression, cliquez sur Ajouter, configurez l’expression, puis cliquez sur OK.
  10. Cliquez sur Create, puis cliquez sur Close.
Créer des serveurs virtuels
March 27, 2024
Contributeur: 
C
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.