创建虚拟服务器
虚拟服务器是用户登录的接入点。每个虚拟服务器都有自己的 IP 地址、证书和策略集。虚拟服务器由 IP 地址、端口和接受传入流量的协议组成。虚拟服务器包含用户登录设备时的连接设置。您可以在虚拟服务器上配置以下设置:
- Certificates(证书)
- 身份验证
- 策略
- 书签
- 地址池(也称为 IP 池或内部网 IP)
- 使用 NetScaler Gateway 进行双跃点 DMZ 部署
- Secure Ticket Authority
- SmartAccess ICA 代理会话传输
如果运行 NetScaler Gateway 向导,则可以在向导期间创建虚拟服务器。您可以通过以下方式配置更多虚拟服务器:
- 来自虚拟服务器节点。此节点位于配置实用程序的导航窗格中。您可以使用配置实用程序添加、编辑和删除虚拟服务器。
- 使用快速配置向导。如果在环境中部署 Citrix Endpoint Management、StoreFront 或 Web Interface,则可以使用快速配置向导创建虚拟服务器以及部署所需的所有策略。
如果希望用户登录并使用特定的身份验证类型(例如 RADIUS),则可以配置虚拟服务器并为服务器分配唯一的 IP 地址。用户登录时,系统会将他们定向到虚拟服务器,然后提示他们输入 RADIUS 凭据。
您还可以配置用户登录 NetScaler Gateway 的方式。您可以使用会话策略配置用户软件的类型、访问方法以及用户登录后看到的主页。
创建虚拟服务器
您可以使用 NetScaler Gateway GUI 或快速配置向导添加、修改、启用或禁用和删除虚拟服务器。有关使用快速配置向导配置虚拟服务器的详细信息,请参阅 使用快速配置向导配置设置。
注意:
默认情况下,VPN 虚拟服务器支持 DTLS 版本 1.0。要启用 DTLS 版本 1.2,请参阅使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器。
HTTP QUIC VPN 虚拟服务器
从版本 14.1 Build 8.x 开始,NetScaler Gateway 支持在浏览器上使用 HTML5 通过 QUIC 发送 ICA 流量并启动 Citrix DaaS 会话。您可以创建服务类型为 HTTP QUIC 的 VPN 虚拟服务器,无需客户端插件软件即可在 HTML5 客户端上通过 QUIC 启动 Citrix DaaS 应用程序。以前,Citrix DaaS 应用必须通过使用 Citrix Workspace 应用程序客户端插件软件的浏览器或使用 WebSockets(无客户端访问)的 HTML5 客户端应用程序启动。
HTML5 客户端支持 WebTransport 协议。WebTransport 协议使用 QUIC 上的 HTTP3 在客户端和 Web 服务器之间建立通信。有关基于 QUIC 的 HTTP 的更多信息,请参阅基于 QUIC 协议的 HTTP。
使用 GUI 配置 HTTP QUIC VPN 虚拟服务器
-
配置 HTTP QUIC VPN 虚拟服务器。
-
导航到 Configuration(配置)> NetScaler Gateway > Virtual Servers(虚拟服务器)。
-
在 NetScaler Gateway 虚拟服务器 页面上,单击 添加。
-
在协议中,选择 HTTP_QUIC。
-
根据需要更新其余字段,然后单击“确定”。
-
-
在 HTTP 配置文件上启用 HTTP/3 WebTransport。
- 导航到 系统 > 配置文件 > HTTP 配置文件。在 HTTP/3 部分中,启用 HTTP/3 WebTransport 复选框。有关 HTTP 配置文件的详细信息,请参阅 HTTP 配置。
使用 CLI 配置 HTTP QUIC VPN 虚拟服务器
-
配置服务类型
HTTP QUIC
的 VPN 虚拟服务器。add vpn vserver <VPN server name> -service type <HTTP_QUIC> -dtls <off> -Listenpolicy <NONE> -httpProfileName <name of the HTTP QUIC profile> -deploymentType <ICA_STOREFRONT> -vserverFqdn <URL> <!--NeedCopy-->
-
在 HTTP 配置文件上启用 HTTP/3 WebTransport。
set httpprofile nshttp_default_http_quic_profile -http3webTransport ENABLED
以下 show 命令的输出显示了参数 HTTP/3 WebTransport: ENABLED
。此参数表示服务类型 HTTP QUIC
正用于在客户端和 VPN 虚拟服务器之间发送 WebTransport 流量。
sh httpprofile <name>
HTTP/2 Strict Cipher: ENABLED
HTTP/3: ENABLED
HTTP/3 maximum header field section size: 24576
HTTP/3 maximum header table size: 4096
HTTP/3 maximum header blocked streams: 100
HTTP/3 WebTransport: ENABLED
gRPC Buffer Limit: 131072
gRPC Buffer Timeout: 1000
gRPC Length Delimited Message: ENABLED
Apdex Client Response Threshold: 500
HTTP pipeline req buffer size: 131072
Reference count: 2
<!--NeedCopy-->
备注:
- SSL 和 HTTP QUIC VPN 虚拟服务器的 IP 地址和端口号必须相同。但是,必须在 SSL VPN 虚拟服务器上禁用 DTLS,因为您无法在通用 IP 地址和端口号上同时运行 DTLS 和 HTTP_QUIC。有关 DTLS VPN 虚拟服务器的详细信息,请参阅 使用 SSL VPN 虚拟服务器配置 DTLS VPN 虚拟服务器。
- 配置了将备用服务值设置为
Altsvc=h3=":port number"
的 HTTP 配置文件必须绑定到 SSL VPN 虚拟服务器。有关替代服务参数的详细信息,请参阅 HTTP 负载平衡配置的 HTTP/2。
使用 GUI 创建虚拟服务器
- 导航到 NetScaler Gateway > 虚拟服务器。
- 在详细信息窗格中,单击“添加”。
- 根据需要配置设置。
- 单击 Create(创建),然后单击 Close(关闭)。
使用 CLI 创建虚拟服务器
在命令提示符下,键入:
add vpn vserver <name> <serviceType> [<IPAddress> <port>]
<!--NeedCopy-->
示例:
add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->
将网络配置文件绑定到 VPN 虚拟服务器时的注意事项
您可以创建网络配置文件(网络配置文件)以将设备配置为使用指定的源 IP 地址并将网络配置文件绑定到 VPN 虚拟服务器。但是,在将网络配置文件绑定到 VPN 虚拟服务器时,请注意以下事项。
-
将网络配置文件绑定到 NetScaler Gateway 虚拟服务器时,网络配置文件不会选择虚拟服务器或服务用于传输到后端服务器的流量的特定 SNIP。相反,网关设备会忽略网络配置文件绑定,并使用轮询方法选择剪断。
-
Net 配置文件不适用于动态生成的服务(STA、SF 监视器)。对于 STA 和其他动态生成的服务,您可以直接将网络配置文件绑定到这些监视器,然后在此时使用这些监视器。但是,如果同一设备上有多个网关,则所有网关对配置的监视器使用相同的网络配置文件。
有关网络配置文件的更多详细信息,请参阅 使用指定的源 IP 进行后端通信。
用于 UDP 启动的 DTLS VPN 虚拟服务器配置中的网络配置文件源 IP 地址
从版本 14.1 Build 17.38 开始,配置了 DTLS 监听器的 NetScaler Gateway 从网络配置文件中选择源 IP 地址,与 Virtual Delivery Agent (VDA) 建立 UDP 连接。确保网络配置文件绑定到 SSL VPN 虚拟服务器。
运行以下 CLI 命令在 VPN 虚拟服务器中配置网络配置文件:
add ip <IPAddress><netmask> -type SNIP
add netprofile net1 -srcIP <IPAddress>
set vpn vserver <name> -netProfile net1
<!--NeedCopy-->
要验证是否使用了所选的源 IP 地址,请运行 show connectiontable
CLI 命令。
虚拟服务器上的当前用户和已连接用户总数
当前用户: 登录到特定虚拟服务器的用户数。建议您监视当前用户是否跟踪 CCU。
已连接用户总数: 通过特定虚拟服务器拥有一个或多个活动连接的用户数。连接的用户总数主要在 ICA Proxy 中使用。
在以下情况下,您可以使用已连接用户总数计数器:
-
请考虑已建立 ICA 连接,但没有建立相应的身份验证、授权和审核会话。在这种情况下,用户启动应用程序或桌面并关闭浏览器,继续在启动的应用程序或桌面上工作。身份验证、授权和审核会话超时,但连接仍处于活动状态。连接的用户总数可用于识别仍处于连接状态的用户。
-
在 HDX 最佳路由中,身份验证网关和 ICA 网关可以位于不同的设备上。在这种情况下,连接的用户总数可用于标识 ICA 网关上已连接的用户数。
注意事项:
-
当存在活动会话(尚未超时)但这些会话上没有活动连接时,当前用户超过连接的总用户数。例如,用户启动了应用程序或桌面并立即将其关闭,但没有从身份验证、授权和审核会话中注销。
-
如果身份验证、授权和审核会话超时但 ICA 连接仍处于活动状态,则连接的用户总数将超过当前用户
-
在纯 VPN 设置中(不涉及 ICA),当前用户数和已连接用户总数相等。
在虚拟服务器上配置连接类型
创建和配置虚拟服务器时,可以配置以下连接选项:
- 使用 Citrix Workspace 应用程序仅连接到没有 SmartAccess、端点分析或网络层通道功能的 Citrix Virtual Apps and Desktops。
- 与 Citrix Secure Access 客户端和 SmartAccess 的连接,允许使用 SmartAccess、端点分析和网络层通道功能。
- 与 Secure Hub 的连接,可建立从移动设备到 NetScaler Gateway 的 Micro VPN 连接。
- 来自多个设备的用户通过 ICA 会话协议建立的并行连接。这些连接将迁移到单个会话,以防止使用多个通用许可证。
如果希望用户在没有用户软件的情况下登录,则可以配置无客户端访问策略并将其绑定到虚拟服务器。
在虚拟服务器上配置基本连接或 SmartAccess 连接
- 导航到 NetScaler Gateway ,然后单击 虚拟服务器。
- 在详细信息窗格中,单击“添加”。
- 在 名称中,键入虚拟服务器的名称。
- 在 IP 地址 和 端口中,键入虚拟服务器的 IP 地址和端口号。
- 执行以下操作之一:
- 要仅允许 ICA 连接,请单击“基本模式”。
- 要允许用户使用 Secure Hub、Citrix Secure Access 客户端和 SmartAccess 登录,请单击 SmartAccess 模式。
- 要允许 SmartAccess 管理多个用户连接的 ICA 代理会话,请单击 ICA Proxy Session Migration(ICA 代理会话迁移)。
- 配置虚拟服务器的其他设置,单击 创建,然后单击 关闭。
为通配符虚拟服务器配置侦听策略
您可以将 NetScaler Gateway 虚拟服务器配置为限制虚拟服务器在特定 VLAN 上侦听的能力。您可以使用监听策略创建通配符虚拟服务器,该策略将其限制为处理指定 VLAN 上的流量。
配置参数包括:
参数 | 说明 |
---|---|
名称 | 虚拟服务器的名称。该名称是必需的,创建虚拟服务器后无法更改它。名称不能超过 127 个字符,第一个字符必须是数字或字母。您还可以使用以下字符:at 符号 (@)、下划线 (_)、短划线 (-)、句点 (.)、冒号 (:)、井号 (#) 和空格。 |
IP | 虚拟服务器的 IP 地址。对于绑定到 VLAN 的通配符虚拟服务器,值始终为 *。 |
类型 | 服务的行为。您可以选择 HTTP、SSL、FTP、TCP、SSL_TCP、UDP、SSL_TCP、UDP、SSL_BRIDGE、NNTP、DNS、ANY、SIP-UDP、DNS-TCP 和 RTSP。 |
端口 | 虚拟服务器监听用户连接的端口。端口号必须介于 0 和 65535 之间。对于绑定到 VLAN 的通配符虚拟服务器,值通常为 *。 |
听优先级 | 分配给监听策略的优先级。优先级的评估顺序相反;数字越小,分配给监听策略的优先级越高。 |
监听策略规则 | 用于标识虚拟服务器必须侦听的 VLAN 的策略规则。规则是 CLIENT.VLAN.ID.EQ (<ipaddressat>) 。<ipaddressat> 替换为分配给 VLAN 的 ID。 |
使用侦听策略创建通配符虚拟服务器
- 在导航窗格中,展开 NetScaler Gateway ,然后单击 虚拟服务器。
- 在详细信息窗格中,单击“添加”。
- 在 名称中,键入虚拟服务器的名称。
- 在 协议中,选择协议。
- 在 IP 地址中,键入虚拟服务器的 IP 地址。
- 在 Port中,键入虚拟服务器的端口。
- 在“高级”选项卡上的“侦听策略”下的“侦听优先级”中,键入监听策略的优先级。
- 在侦听策略规则旁边,单击 配置。
- 在 Create Expression(创建表达式)对话框中,单击 Add(添加),配置表达式,然后单击 OK(确定)。
- 单击 Create(创建),然后单击 Close(关闭)。