Gateway

配置地址池

在某些情况下,使用 Citrix Gateway 插件连接的用户需要 Citrix Gateway 的唯一 IP 地址。例如,在 Samba 环境中,连接到映射网络驱动器的每个用户都需要看起来来自不同的 IP 地址。为组启用地址池(也称为 IP 池)时,Citrix Gateway 可以为每个用户分配唯一的 IP 地址别名。

您可以使用 Intranet IP 地址配置地址池。以下类型的应用程序可能需要使用从 IP 池中提取的唯一 IP 地址:

  • IP 语音
  • 活动 FTP
  • 即时通讯
  • 安全外壳 (SSH)
  • 用于连接到计算机桌面的虚拟网络计算 (VNC)
  • 用于连接到客户端桌面的远程桌面 (RDP)

您可以将 Citrix Gateway 配置为为连接到 Citrix Gateway 的用户分配内部 IP 地址。可以将静态 IP 地址分配给用户,也可以将一系列 IP 地址分配给组、虚拟服务器或全局系统。

Citrix Gateway 允许您将内部网络中的 IP 地址分配给远程用户。可以通过内部网络上的 IP 地址来寻址远程用户。如果选择使用一定范围的 IP 地址,系统会根据需要将该范围内的 IP 地址动态分配给远程用户。

配置地址池时,请注意以下事项:

  • 必须正确路由分配的 IP 地址。为确保路由正确,请考虑以下事项:
    • 如果未启用拆分通道,请确保 IP 地址可以通过网络地址转换 (NAT) 设备路由。
    • 使用 Intranet IP 地址的用户连接访问的任何服务器都必须配置适当的网关才能到达这些网络。
    • 在 Citrix Gateway 上配置网关或静态路由,以便将来自用户软件的网络流量路由到内部网络。
  • 分配 IP 地址范围时,只能使用连续的子网掩码。范围的子集可以分配给较低级别的实体。例如,如果 IP 地址范围绑定到虚拟服务器,则将该范围的子集绑定到组。
  • IP 地址范围不能绑定到绑定级别内的多个实体。例如,绑定到组的地址范围的子集不能绑定到另一个组。
  • Citrix Gateway 不允许您在用户会话主动使用 IP 地址时删除或取消绑定 IP 地址。
  • 使用以下层次结构将内部网络 IP 地址分配给用户:
    • 用户的直接绑定
    • 分组分配的地址池
    • 虚拟服务器分配的地址池
    • 全球范围的地址
  • 分配地址范围时只能使用连续的子网掩码。但是,已分配范围的子集可能会进一步分配给较低级别的实体。 绑定的全局地址范围可以具有绑定到以下内容的范围:
    • 虚拟服务器
    • 用户
  • 绑定的虚拟服务器地址范围可以有绑定到以下内容的子集:
    • 用户

绑定的组地址范围可以有绑定到用户的子集。

为用户分配 IP 地址后,该地址将保留用于用户下次登录,直到地址池范围用尽为止。当地址用尽时,Citrix Gateway 会从 Citrix Gateway 注销时间最长的用户那里回收 IP 地址。

如果无法回收某个地址并且所有地址都在使用中,Citrix Gateway 将不允许用户登录。您可以通过允许 Citrix Gateway 在所有其他 IP 地址都不可用时将映射的 IP 地址用作 Intranet IP 地址来防止出现这种情况。

Intranet IP DNS 注册

如果将Intranet IP 分配给客户端计算机并在 VIP 通道建立之后,VPN 插件会检查该客户端计算机是否已加入域。如果客户端计算机是加入域的计算机,VPN 插件将启动 DNS 注册过程,将计算机的主机名 Intranet 与分配的Intranet IP 地址绑定在一起。在通道重建之前,此注册将被还原。

要成功注册 DNS,请确保设置了以下 nsapimgr 旋钮。另外,请确保将权威 DNS 服务器设置为允许“非安全”DNS 更新。

  • nsapimgr-ys enable_vpn_dns_override=1:此标志与其他配置参数一起发送到 NetScaler Gateway VPN 客户端。如果未设置此标志,并且 VPN 客户端拦截 DNS/WINS 请求时,它会通过通道向 NetScaler Gateway 虚拟服务器发送相应的“GET /DNS”http 请求以获取解析的 IP 地址。但是,如果设置了“enable_vpn_dnstruncate_fix”标志,则 VPN 客户端会将 DNS/WINS 请求透明地转发到 NetScaler Gateway 虚拟服务器。在这种情况下,DNS 数据包将通过 VPN 通道按原样发送到 NetScaler Gateway 虚拟服务器。如果从 NetScaler Gateway 中配置的域名服务器返回的 DNS 记录很大,不适合 UPD 响应数据包,这会有所帮助。在这种情况下,当客户端恢复使用 TCP-DNS 时,此 TCP-DNS 数据包按原样到达 NetScaler Gateway 服务器,因此 NetScaler Gateway 服务器向 DNS 服务器发出 TCP-DNS 查询。

  • nsapimgr -ys enable_vpn_dnstruncate_fix=1:NetScaler Gateway 服务器本身使用此标志。如果设置了此标志,NetScaler Gateway 将覆盖与 NetScaler Gateway 上配置的 DNS 服务器的“DNS 端口上的 TCP 连接”的目标(而不是尝试将它们发送到传入 TCP-DNS 数据包中最初存在的 DNS-Server-IP)。对于 UDP DNS 请求,默认情况下使用配置的 DNS 服务器进行 DNS 解析。

有关设置这些旋钮的更多信息,请参阅 https://support.citrix.com/article/CTX200243

配置地址池