Gateway

配置地址池

在某些情况下,连接到 Citrix Secure Access 客户端的用户需要 NetScaler Gateway 的唯一 IP 地址。例如,在 Samba 环境中,连接到映射网络驱动器的每个用户都需要看起来来自不同的 IP 地址。为组启用地址池(也称为 IP 池)时,NetScaler Gateway 可以为每个用户分配唯一的 IP 地址别名。

您可以使用 Intranet IP 地址配置地址池。以下类型的应用程序可能需要使用从 IP 池中提取的唯一 IP 地址:

  • IP 语音
  • 活动 FTP
  • 即时通讯
  • 安全外壳 (SSH)
  • 用于连接到计算机桌面的虚拟网络计算 (VNC)
  • 用于连接到客户端桌面的远程桌面 (RDP)

您可以将 NetScaler Gateway 配置为为连接到 NetScaler Gateway 的用户分配内部 IP 地址。可以将静态 IP 地址分配给用户,也可以将一系列 IP 地址分配给组、虚拟服务器或全局系统。

NetScaler Gateway 允许您将内部网络中的 IP 地址分配给远程用户。内部网络上的 IP 地址可以为远程用户提供地址。如果选择使用一定范围的 IP 地址,系统会根据需要将该范围内的 IP 地址动态分配给远程用户。

配置地址池时,请注意以下事项:

  • 必须正确路由分配的 IP 地址。为确保路由正确,请考虑以下事项:
    • 如果未启用拆分通道,请确保 IP 地址可以通过网络地址转换 (NAT) 设备路由。
    • 使用 Intranet IP 地址的用户连接访问的任何服务器都必须配置适当的网关才能到达这些网络。
    • 在 NetScaler Gateway 上配置网关或静态路由,以便将来自用户软件的网络流量路由到内部网络。
  • 分配 IP 地址范围时,只能使用连续的子网掩码。范围的子集可以分配给较低级别的实体。例如,如果 IP 地址范围绑定到虚拟服务器,则将该范围的子集绑定到组。
  • IP 地址范围不能绑定到绑定级别内的多个实体。例如,绑定到组的地址范围的子集不能绑定到另一个组。
  • NetScaler Gateway 不允许您在用户会话主动使用 IP 地址时删除或取消绑定 IP 地址。
  • 使用以下层次结构将内部网络 IP 地址分配给用户:
    • 用户的直接绑定
    • 分组分配的地址池
    • 虚拟服务器分配的地址池
    • 全球范围的地址
  • 分配地址范围时只能使用连续的子网掩码。但是,已分配范围的子集可能会进一步分配给较低级别的实体。 绑定的全局地址范围可以具有绑定到以下内容的范围:
    • 虚拟服务器
    • 用户
  • 绑定的虚拟服务器地址范围可以有绑定到以下内容的子集:
    • 用户

绑定的组地址范围可以有绑定到用户的子集。

为用户分配 IP 地址后,该地址将保留用于用户下次登录,直到地址池范围用尽为止。当地址用尽时,NetScaler Gateway 会从 NetScaler Gateway 注销时间最长的用户那里回收 IP 地址。

如果无法回收某个地址并且所有地址都在使用中,NetScaler Gateway 将不允许用户登录。您可以通过允许 NetScaler Gateway 在所有其他 IP 地址都不可用时将映射的 IP 地址用作 Intranet IP 地址来防止出现这种情况。

Intranet IP DNS 注册

如果将 Intranet IP 分配给客户端计算机,并且在 VIP 通道建立之后,VPN 插件会检查该客户端计算机是否已加入域。如果客户端计算机是加入域的计算机,VPN 插件将启动 DNS 注册过程,以将计算机的主机名 Intranet 与分配的 Intranet IP 地址关联起来。在通道重建之前,此注册将被还原。

要成功注册 DNS,请确保设置了以下 nsapimgr 旋钮。还要确保权威 DNS 服务器设置为允许“不安全”的 DNS 更新。

  • nsapimgr -ys enable_vpn_dns_override=1:此标志与其他配置参数一起发送到 NetScaler Gateway VPN 客户端。如果未设置此标志并且当 VPN 客户端拦截 DNS/WINS 请求时,它会通过通道向 NetScaler Gateway 虚拟服务器发送相应的“GET /DNS”HTTP 请求以获取解析的 IP 地址。但是,如果设置了“enable_vpn_dnstruncate_fix”标志,VPN 客户端将 DNS/WINS 请求透明地转发给 NetScaler Gateway 虚拟服务器。在这种情况下,DNS 数据包将通过 VPN 通道按原样发送到 NetScaler Gateway 虚拟服务器。如果从 NetScaler Gateway 中配置的域名服务器返回的 DNS 记录很大,不适合 UPD 响应数据包,这会有所帮助。在这种情况下,当客户端恢复使用 TCP-DNS 时,此 TCP-DNS 数据包按原样到达 NetScaler Gateway 服务器,因此 NetScaler Gateway 服务器向 DNS 服务器发出 TCP-DNS 查询。

  • nsapimgr -ys enable_vpn_dnstruncate_fix=1:NetScaler Gateway 服务器本身使用此标志。如果设置了此标志,NetScaler Gateway 会覆盖 NetScaler Gateway 上配置的 DNS 服务器的“DNS 端口上的 TCP 连接”的目标(而不是尝试将它们发送到传入的 TCP-DNS 数据包中最初存在的 DNS-server-IP)。对于 UDP DNS 请求,默认情况下使用配置的 DNS 服务器进行 DNS 解析。适用于 Windows 的 NetScaler Gateway 插件支持安全和非安全的 DNS 更新。默认情况下,21.7.1.1 或更高版本中存在安全 DNS 更新支持。

    默认情况下,Windows 插件上的安全 DNS 更新处于禁用状态。要启用它,请在 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access 中创建一个类型为 REG_DWORD 的值并将其设置为 1。

    • 将该值设置为 1 时,VPN 插件会先尝试不安全的 DNS 更新。如果不安全的 DNS 更新失败,VPN 插件会尝试安全 DNS 更新。
    • 要仅尝试安全 DNS 更新,可以将该值设置为 2。

有关设置这些旋钮的更多信息,请参阅 https://support.citrix.com/article/CTX200243

为用户、组或虚拟服务器配置地址池

  1. 在配置实用程序的导航窗格中,展开 NetScaler Gateway,执行以下操作之一:
    • 展开 NetScaler Gateway 用户管理,然后单击 AAA 用户
    • 展开 NetScaler Gateway > 用户管理,然后单击 AAA 组
    • 展开 NetScaler Gateway,然后单击“虚拟服务器”。
  2. 在详细信息窗格中,单击用户、组或虚拟服务器,然后单击 打开
  3. Intranet IP 选项卡的 IP 地址和子网掩码中,键入 IP 地址和子网掩码,然后单击 添加
  4. 对要添加到池中的每个 IP 地址重复步骤 3,然后单击“确定”。

全局配置地址池

  1. 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
  2. 在详细信息窗格中的 Intranet IP下,单击要分配唯一的静态 IP 地址或 IP 地址池供所有客户端 NetScaler Gateway 会话使用,请配置 Intranet IP。
  3. 在“绑定 Intranet IP”对话框中,单击“操作”, 然后单击“插入”。
  4. 在“IP 地址和子网掩码”中,键入 IP 地址和子网掩码,然后单击“添加”。
  5. 对要添加到池中的每个 IP 地址重复步骤 3 和 4,然后单击“确定”。

定义地址池选项

您可以使用会话策略或全局 NetScaler Gateway 设置来控制是否在用户会话期间分配 Intranet IP 地址。通过定义地址池选项,您可以将 Intranet IP 地址分配给 NetScaler Gateway,同时禁止对特定用户组使用 Intranet IP 地址。

您可以通过以下三种方式之一使用会话策略来配置地址池:

  • Nospillover -为 Intranet IP 地址配置地址池时,您将获得一个包含池中可用 IP 的会话。对于已使用所有可用 Intranet IP 地址的用户,将显示“转移登录”页面。
  • 溢出 - 当您配置地址池并将映射的 IP 用作 Intranet IP 地址时,映射的 IP 地址将用于已使用所有可用 Intranet IP 地址的用户。
  • - 未配置地址池。

注意:

如果未配置映射的 IP 地址,则使用 SNIP。

定义地址池

  1. 在配置实用程序中的配置选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击会话
  2. 在详细信息窗格的“策略”选项卡上,单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“请求配置文件”旁边,单击“新建”。
  5. 在“Name”(名称)中,键入配置文件的名称。
  6. 网络配置 选项卡上,单击 高级
  7. 在 Intranet IP 旁边,单击 覆盖全局 ,然后选择一个选项。
  8. 如果在步骤 9 中选择溢出,请在映射的 IP 旁边单击覆盖全局,选择设备的主机名,单击确定,然后单击创建
  9. 在“创建会话策略”对话框中,创建表达式。单击“创建”,然后单击“关闭”。

配置“转移登录”页面

如果用户没有可用的 Intranet IP 地址,然后尝试与 NetScaler Gateway 建立另一个会话,则会出现“转移登录”页面。“转移登录”页面允许用户使用新会话替换其现有 NetScaler Gateway 会话。

如果注销请求丢失或用户未执行彻底注销,也可以使用“转移登录”页面。例如:

  • 为用户分配了一个静态内部网 IP 地址,并拥有现有的 NetScaler Gateway 会话。如果用户尝试从另一台设备建立第二个会话,则会出现“转移登录”页面,用户可以将会话转移到新设备。
  • 为用户分配了五个内部网 IP 地址,并通过 NetScaler Gateway 拥有五个会话。如果用户尝试建立第六个会话,则会出现“转移登录”页面,用户可以选择用新会话替换现有会话。

备注:

  • 如果没有为用户分配可用 IP 地址,因此无法建立新的会话,则会显示一条错误消息。

  • 适用于 Android 的 Citrix Secure Access 23.12.1 及更高版本在始终可用的 VPN 模式下支持 NetScaler Gateway 的转移登录功能。

仅当您配置地址池并禁用溢出功能时,才会显示“转移登录”页面。

配置 DNS 后缀

当用户登录 NetScaler Gateway 并获得 IP 地址时,用户名和 IP 地址组合的 DNS 记录将添加到 NetScaler Gateway DNS 缓存中。您可以将 DNS 后缀配置为在将 DNS 记录添加到缓存时附加到用户名。这允许用户通过 DNS 名称进行引用,这比 IP 地址更容易记住。当用户从 NetScaler Gateway 注销时,记录将从 DNS 缓存中删除。

配置 DNS 后缀

  1. 在配置实用程序中的配置选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击会话
  2. 在详细信息窗格的“ 略”选项卡上,选择一个会话策略,然后单击“打开”。
  3. 在“请求配置文件”旁边,单击“修改”。
  4. 网络配置 选项卡上,单击 高级
  5. 在 Intranet IP DNS 后缀旁边,单击“覆盖全局”,键入 DNS 后缀,然后单击三次“确定”。
配置地址池