Citrix ADC对 Microsoft 直接访问部署的支持
Microsoft Direct Access 是一项技术,它使远程用户能够无缝安全地连接到企业的内部网络,而无需建立单独的 VPN 连接。与需要用户干预才能打开和关闭连接的 VPN 连接不同,启用直接访问的客户端只要连接到 Internet 就会自动连接到企业的内部网络。
Manage-Out 是一项 Microsoft Direct Access 功能,允许企业网络内部的管理员连接到网络外部的 Direct Access 客户端并对其进行管理(例如,执行管理任务,例如安排服务更新和提供远程支持)。
在直接访问部署中,NetScaler 设备提供高可用性、可扩展性、高性能和安全性。NetScaler 负载平衡功能通过最合适的服务器发送客户端流量。设备还可以通过正确的路径转发 Manage-Out 流量到达客户端。
体系结构
Microsoft Direct Access 部署的架构由支持直接访问的客户端、直接访问服务器、应用程序服务器以及内部和外部 NetScaler 设备组成。客户端通过直接访问服务器连接到应用程序服务器。外部 NetScaler 设备将客户端流量负载平衡到直接访问服务器,内部 NetScaler 设备将客户端流量从直接访问服务器转发到目标应用程序服务器。直接访问用于通过 IPv4 网络对客户端的 IPv6 流量进行通道传输。外部 NetScaler 设备上的 IPv4 负载平衡虚拟服务器对客户端到其中一个直接访问服务器的通道流量进行负载平衡。直接访问服务器从收到的客户端的 IPv4 数据包中提取 IPv6 数据包,然后通过内部 NetScaler 设备将其发送到目标应用程序服务器。内部 NetScaler 设备具有转发会话规则,启用了源路由缓存选项,用于存储有关来自直接访问服务器的客户端流量的第 2 层和第 3 层连接信息。NetScaler 设备将以下第 2 层和第 3 层信息存储在名为源路由缓存表的表中:
- 收到的数据包的源 IP 地址
- 发送数据包的直接访问服务器的 MAC 地址
- 接收数据包的 NetScaler 设备的 VLAN ID
- 接收数据包的 NetScaler 设备的接口 ID
NetScaler 设备使用源路由缓存表中的信息将响应转发到同一个 Direct Access 服务器,因为它拥有到达客户端的通道信息。此外,内部设备使用源路由缓存表将应用程序服务器的 Manage-out 流量转发到相应的 Direct Access 服务器以到达特定的客户端。
在 Microsoft 直接访问部署中配置内部 NetScaler 设备
要将内部 NetScaler 设备配置为将应用程序服务器的响应和管理流量转发到相应的 Direct Access Gateway,请配置转发会话规则。在每条规则中,将 sourceroutecache 参数设置为“启用”。
要使用 CLI 创建转发会话规则,请执行以下操作:
在命令提示符下,键入:
- add forwardingSession <name> ((<network> [\<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
- 显示转发会话 <name>
示例配置:
在以下示例中,转发会话规则 MS-DA-FW-1 是在内部 NetScaler 设备上创建的。转发会话存储从直接访问服务器与源 IPv6 前缀 2001:DB8::/96 匹配的任何传入 IPv6 数据包的第 2 层和第 3 层信息。
> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
Done
显示源路由缓存表
您可以显示源路由缓存表,以监视或检测直接访问服务器和应用程序服务器之间任何不需要的连接。
要使用 CLI 显示源路由缓存表,请执行以下操作:
在命令提示符下,键入:
- 显示源路由缓存表
示例:
> show sourceroutecachetable
SOURCEIP MAC VLAN INTERFACE
2001:DB8:5001:10 56:53:24:3d:02:eb 30 1/2
2001:DB8:5003:30 60:54:35:3e:04:bd 60 1/3
Done
清除源路由缓存表
您可以在 NetScaler 设备上清除源路由缓存表中的所有条目。
要使用 CLI 清除源路由缓存表,请执行以下操作:
在命令提示符下,键入:
- 冲洗 ns 可酸性