配置服务器启动的连接
对于在启用 IP 地址的情况下登录 NetScaler Gateway 的每个用户,DNS 后缀都会附加到用户名后面,并将 DNS 地址记录添加到设备的 DNS 缓存中。此技术有助于为用户提供 DNS 名称,而不是用户的 IP 地址。
将 IP 地址分配给用户的会话时,可以从内部网络连接到用户的设备。例如,连接到远程桌面或虚拟网络计算 (VNC) 客户端的用户可以访问用户设备来诊断问题应用程序。两个具有内部网络 IP 地址且远程登录的 NetScaler Gateway 用户也可以通过 NetScaler Gateway 相互通信。允许在设备上发现已登录用户的内部网络 IP 地址有助于进行此通信。
远程用户可以使用以下 ping 命令发现可以登录 NetScaler Gateway 的用户的内部网络 IP 地址,然后:
ping \<username.domainname\>
服务器可以通过以下不同方式启动与用户设备的连接:
-
TCP 或 UDP 连接。连接可以来自内部网络中的外部系统,也可以来自登录到 NetScaler Gateway 的另一台计算机。分配给登录到 NetScaler Gateway 的每个用户设备的内部网络 IP 地址将用于这些连接。介绍了 NetScaler Gateway 支持的不同类型的服务器启动的连接。 对于 TCP 或 UDP 服务器启动的连接,服务器事先了解用户设备的 IP 地址和端口并与之建立连接。NetScaler Gateway 会拦截此连接。
然后,用户设备与服务器建立初始连接,并且服务器通过已知或派生自第一个已配置端口的端口连接到用户设备。
在这种情况下,用户设备与服务器建立初始连接,然后使用嵌入此信息的应用程序特定协议与服务器交换端口和 IP 地址。这使 NetScaler Gateway 能够支持应用程序,例如活动 FTP 连接。
-
端口命令。这在活动的 FTP 和某些 IP 语音协议中使用。
-
插件之间的连接。NetScaler Gateway 通过使用内部网络 IP 地址支持插件之间的连接。
通过这种类型的连接,使用同一 NetScaler Gateway 的两个 NetScaler Gateway 用户设备可以相互启动连接。这种类型的一个例子是使用即时消息传递应用程序,例如 Office Communicator 或 Yahoo! 信使。
如果用户注销 NetScaler Gateway 但注销请求未到达设备,则用户可以使用任何设备再次登录,然后用新会话替换以前的会话。在为每个用户分配一个 IP 地址的部署中,此功能可能会有所帮助。
当用户首次登录 NetScaler Gateway 时,将创建一个会话并为该用户分配一个 IP 地址。如果用户注销但注销请求丢失,或者用户设备无法执行干净注销,则会话将在系统中保留。如果用户尝试从同一台设备或另一台设备再次登录,则在成功进行身份验证后,将显示转移登录对话框。如果用户选择转移登录信息,则 NetScaler Gateway 上的上一个会话将关闭并创建新会话。登录转移在注销后仅有两分钟处于活动状态,如果同时尝试从多台设备登录,则最后一次登录尝试将替换原始会话。
为服务器启动的连接配置专用端口范围
从 Citrix Secure Access 客户端版本 23.10.1.7 开始,您可以为服务器启动的连接 (SIC) 配置范围从 49152 到 64535 的专用端口。 配置专用端口可以避免在使用端口在 Citrix Secure Access 客户端与客户端上的第三方应用程序之间创建套接字时可能出现的冲突。这仅在使用 WFP 驱动程序时适用。
您可以使用 SicBeginPort Windows VPN 注册表来配置专用端口。或者,您可以使用 NetScaler 上的 VPN 插件自定义 JSON 文件配置专用端口范围。
如果服务器启动连接,Citrix Secure Access 客户端将使用从 SicBeginPort Windows VPN 注册表开始的前 1000 个端口来创建套接字。如果注册表是在客户端上配置的,则注册表设置优先于 NetScaler JSON 设置。
以下是 NetScaler 上的 VPN 插件 JSON 配置示例:
root@ADC# cat /var/netscaler/gui/vpn/pluginCustomization.json
{"SicBeginPort" : 51000}
<!--NeedCopy-->
有关注册表设置的详细信息,请参阅 NetScaler Gateway Windows VPN 客户端注册表项。
注意:
用于创建套接字的默认端口范围为 62500—63500。